menu
Noticias
ATENCIÓN: INFECCIONES MASIVAS DE CRYPTOLOCKER CON E-MAILS DE UN FALSO 'CORREOS'
ATENCIÓN: INFECCIONES MASIVAS DE CRYPTOLOCKER CON E-MAILS DE UN FALSO 'CORREOS' 4
Dec, 2014
by securitybydefault

A lo largo de la tarde no he parado de recibir peticiones de ayudas desde varias organizaciones y empresas debido a una masiva infección mediante 'CryptoLocker'.


La fisonomía del ataque se aleja de los típicos correos mal escritos y que son detectables a simple vista. Por contra, la campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado.
El dominio que están empleando (al menos en algunos de esos e-mails) es correos24.net 
Como se puede ver en el whois:
 Domain Name: CORREOS24.NET
   Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
   Whois Server: whois.reg.ru
   Referral URL: http://www.reg.ru
   Name Server: NS1.REG.RU
   Name Server: NS2.REG.RU
   Status: clientTransferProhibited
   Updated Date: 03-dec-2014
   Creation Date: 03-dec-2014
   Expiration Date: 03-dec-2015
Es un domino que se ha creado hoy 3 de Diciembre.
Otro de los puntos que convierte esta amenaza en algo muy serio es el hecho de que, tras los correos hay una campaña OSINT previa para dirigir el ataque de forma selectiva a personas a quienes les llegan los correos a su nombre y apellidos
Esto ayuda a dar credibilidad a dichos e-mails y en muchos casos la gente está descargando el Ransomware.
Los correos lucen tal que así



Como se aprecia, van PERSONALIZADOS con nombres y apellidos de las personas a las que pertenecen los correos.
Desde aquí instamos a bloquear el dominio correos24.net y recomendamos instalar Anti Ransom para prevenir infecciones.

Si se hace click en el enlace que propone el correo, llegamos a una URL tal que así:

http://correos24.net/login.php?id=76264463456

Y, si se cumple la máxima de que la IP sea Española (he probado con variantes de varios países) llegamos a una URL tal que así:

http://correos-online.org/5a99b6186605843b7fdbc19400439af4

Y luce de esta forma:

 
En caso de que la IP sea de otro país, nos lleva a Google.

Y al rellenar dicho captcha, se descarga al equipo un fichero ZIP que contiene el troyano.

El dominio correos-online.org se ha registrado igualmente el 2 de Diciembre:

Domain Name:CORREOS-ONLINE.ORG
Domain ID: D174700842-LROR
Creation Date: 2014-12-02T13:28:53Z
Updated Date: 2014-12-02T13:28:54Z
Registry Expiry Date: 2015-12-02T13:28:53Z
Sponsoring Registrar:null (R2011-LROR)
Sponsoring Registrar IANA ID: 1564

UPDATE: Actualmente, muy pocos motores antivirus detectan la variante de CryptoLocker. Reporte VT aquí

 
UPDATE IIDavid Reguera de buguroo me ha facilitado unas URLs con las muestras analizadas en malwr.com
https://malwr.com/analysis/Y2U1NTZiYTMxOTFhNDcwYWJjMmIxMzE5ZGY0YTY2M2U/
https://malwr.com/analysis/ZmVjYWI3NjZjODkwNDI0Njk3NjBjZDFjNmFkNTA2Yjc/ 
UPDATE III: Tal y como decía Marc Riveroel cifrado se puede revertir empleando la herramienta 'TorrentUnlocker' que se puede descargar aquí   pero para poder realizar el descifrado es necesario disponer al menos de un fichero sin cifrar y el mismo fichero cifrado.
UPDATE IV: Según puede leerse en los comentarios, la herramienta antes mencionada, realiza bien el primer paso (deducir la clave entre fichero cifrado / descifrado) pero parece que NO es capaz luego de descifrar el resto de ficheros

Compartir este artículo

Utilizamos cookies propias y de terceros para realizar análisis de uso y de medición estadística de nuestro sitio Web para mejorar nuestros servicios. Si continúa navegando, consideramos que acepta su instalación y uso. Puede cambiar la configuración u obtener más información en nuestra Política de Cookies.