Infecciones masivas de CryptoLocker con e-mails de una falsa empresa ‘Correos’

Infecciones masivas de CryptoLocker con e-mails de una falsa empresa ‘Correos’

Desde Evotec queremos informar que hay en circulación un virus muy peligroso que cifra los documentos del ordenador y los de red, afectando a los servidores de la red. El cifrado se hace con alta complejidad y es imposible recuperar los ficheros salvo tirando de un backup.

La campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado tal y como se muestra a continuación:

Si prestamos atención vemos que hay errores gramaticales, así como errores en los acentos. Además el enlace no apunta a correos.es sino a otra empresa. En el caso de este a http://correosespana.com.

Una vez pulsado en el enlace nos pide un captcha y descargar un programa que al ejecutar, empieza con el cifrado:

 

MUY IMPORTANTE: NO HACER CASO AL CORREO Y ELMINARLO INMEDIATAMENTE.

Ante cualquier duda poneros en contacto con el departamento de sistemas.

Por favor, REENVIAR EL CORREO A TODAS LAS PERSONAS DE LA EMPRESA para evitar que esto llegue a suceder.

Tener en cuenta que este patrón se puede reproducir con otras empresas o con otro contenido. Para evitar infecciones recomendamos seguir los siguientes consejos:

• Si no se está esperando un email de una empresa no abrirlo.
• Si se ve que el email tiene errores gramaticales o los acentos salen mal, no abrirlos.
• Cuando un enlace redirige a un dominio que no es el principal de la empresa, no hacerle caso.
• Si el email lleva adjuntos prestar especial cuidado. Muchas veces ocultan los ejecutables y parecen pdf, o Word o similares. No los abra a menos que sepa qué son, aun cuando parezca proceder de alguien que conoce. Si el adjunto es un comprimido evitar abrirlo salvo que se tenga segura la procedencia y se esté esperando el correo.
• No los abra si la línea del asunto es dudosa o inesperada
• En caso de que reciba algún correo en el que se le pida que dé su nombre de usuario y contraseña -generalmente correos bancarios-, no los dé. Nunca ninguna entidad le pedirá por correo estos datos; los mensajes son falsos y se envían con la esperanza de obtener los datos personales del usuario y poder acceder, suplantando su personalidad, a su cuenta de correo, cuenta bancaria… Esta técnica forma parte del denominado “phising” y actualmente está muy en boga.

Ante cualquier duda, antes de abrir un correo sospechoso consultar con el departamento de sistemas.

En caso de detectar algo sospechoso y pensar que finalmente ha sido infectado por ejecutarlo sin darse cuenta, desconecte inmediatamente el cable de red y póngase urgentemente en contacto con el departamento de sistemas.