Crypt0l0cker vuelve al ataque

Sin duda, Crypt0l0cker es uno de los ransomware (software que secuestra recursos de un sistema informático y pide un rescate por su liberación) más conocidos. Hoy hemos podido observar una nueva campaña masiva de correos con textos similares entre sí, pero firmados por diferentes personas.

El cuerpo del mensaje coincide entre los distintos mensajes, que contienen un fichero adjunto, y éste a su vez un documento de Office; específicamente Excel.

Hemos podido observar como durante las últimas horas, han circulado diferentes correos con cuerpos similares y firmados por distintas personas.

más #cryptolocker pic.twitter.com/ouaMJbcI6V

— Fernando (@entdark_) 9 de marzo de 2017

El documento de Excel mencionado anteriormente, solicita al usuario habilitar las macros para que se pueda ejecutar el código malicioso en la máquina sin que el usuario se dé cuenta.

Observando la macro se encuentra un archivo que descarga remotamente y almacena en el sistema.

El resultado final, tras la ejecución completa de la tarea del atacante, es el que podemos ver a continuación... El clásico mensaje en el que se nos advierte del cifrado de los archivos más importantes y la necesidad de pagar para recuperar la información. De nuevo recordamos evitar cualquier tipo de pago, ya que incluso en la mayoría de las ocasiones suele ser totalmente inútil.

Tras esto, lo más recomendable es mantener las soluciones antivirus actualizadas y sobretodo no abrir mensajes adjuntos de usuarios que desconozcamos, o de cuyo contenido se sospeche. Si recibes correos similares, evita abrir los adjuntos.

Fernando Díaz

fdiaz@hispasec.com