Los peligros de abrir correos electrónicos sospechosos: ransomware Crowti

 Por msft-mmpc

 

El Centro de Microsoft para la Protección contra Malware (MMPC) ha tenido un aumento en el número de detecciones de amenazas en el ransomware Win32/Crowti  este mes como resultado de las nuevas campañas de malware.  Crowti es una familia de ransomware que, cuando se encuentra, intentará codificar los archivos en su PC y después pedirá un pago para desbloquearlos.  Estas amenazas se distribuyen mediante campañas y explotaciones de correo electrónico con spam. 

Crowti afecta tanto a empresas como usuarios del hogar; sin embargo, este tipo de amenaza puede dañar particularmente a los ambientes empresariales.  En la mayoría de los casos, ransomware como Crowti puede codificar archivos y dejarlos sin acceso.  Por esta razón es importante que respalde sus archivos de manera regular.  Técnicas de almacenamiento en la nube como OneDrive para Negocios pueden ayudar con funciones como el historial integrado de versiones que le ayuda a revertir a una versión no codificada de sus archivos.

Además, recomendamos que aumente la consciencia sobre los peligros de abrir correos electrónicos sospechosos – esto incluye no abrir archivos adjuntos o enlaces de correos electrónicos de fuentes no confiables.  Normalmente, los usuarios tratarán de imitar correos electrónicos conocidos, como fax, correos de voz o recibos.  Si recibe un correo electrónico que no espera, es mejor ignorarlo.  Trate de validar la fuente del correo electrónico antes de hacer clic en un enlace o abrir el archivo adjunto.  Al final de este blog encontrará más consejos para ayudar a evitar una infección de ransomware y otras amenazas.  

La siguiente gráfica muestra la forma en que el ransomware Crowti ha afectado a nuestros clientes durante el mes pasado.

Encuentros de Win32/Crowti

 

 

Figura 1: Datos de encuentro diario para el ransomware Win32/Crowti

PCs en Estados Unidos tienen la mayor afectación con 71% de todas las infecciones, después están Canadá, Francia y Australia. 

Distribución geográfica de Crowti

 Figura 2: Datos de telemetría para Win32/Crowti por país, del 21 de septiembre al 21 de octubre de 2014

Infección e instalación

Crowti se distribuye por campañas de spam con archivos adjuntos de correo electrónico diseñados para incitar al destinatario a que los abra.  Hemos visto los siguientes nombres de archivos adjuntos:

  • VOZ<números aleatorios>.scr
  • Fax entrante<números aleatorios>.exe
  • fax<números aleatorios>.scr/exe
  • fax-id<números aleatorios>.exe/scr
  • info_<números aleatorios>.pdf.exe
  • documento-<números aleatorios>.scr/exe
  • Queja_IRS_id-<números aleatorios>.scr/exe
  • Factura<números aleatorios>.scr/exe

Normalmente, el archivo adjunto viene en un zip.  Abrir y ejecutar este archivo lanzará el malware.  A continuación se muestra un ejemplo de mensajes por correo electrónico con spam:

 

Figura 3: Mensaje con spam por correo electrónico con Win32/Crowti como archivo adjunto

Nuestra telemetría e investigación muestra que Win32/Crowti también se distribuye vía kits de explotación como Nuclear, RIG y RedKit V2.  Estos kits pueden entregar diferentes explotaciones, incluyendo aquéllas que explotan vulnerabilidades en Java y Flash.  Algunas de las explotaciones utilizadas para distribuir Crowti son:

En el pasado, también hemos visto que se instala Win32/Crowti en otro malware, como Upatre, Zbot y Zemot.

La Figura 4 muestra una cadena típica de infección:

 

 
Figura 4: Cadena de infección de Crowti

Codificación de archivos

La tarea principal de Crowti es codificar los archivos en su PC.  Normalmente, se autodenomina CryptoDefense o CryptoWall.  A continuación vea un mensaje muestra que aparece una vez que se han codificado sus archivos.

 

Figura 5: Mensaje de codificación de Crowti

Los enlaces en el mensaje anterior lo mandan a una página Web Tor que pide el pago utilizando Bitcoin.

 

Figura 6: Solicitud de pago de Crowti

El 29 de septiembre de 2014 vimos una muestra de Crowti distribuida con un certificado digital válido otorgado a Trend, como se muestra a continuación.  Esto no estaba asociado con Trend Micro y el certificado fue revocado desde entonces.  Crowti ha utilizado certificados digitales para desviar sistemas de detección con anterioridad – lo hemos visto previamente utilizando un certificado emitido a The Nielsen Company.

 

Figura 7: Certificado digital de Crowti

Cómo proteger su PC

No hay garantía de que pagar una recompensa le dará acceso a sus archivos o restaurará su PC a su estado previo.  No recomendamos pagar el rescate.

Existen varias precauciones de seguridad que pueden ayudar a evitar estos ataques en máquinas tanto empresariales como de consumidores.  Así como estar consciente de correos electrónicos sospechosos y respaldar sus archivos, usted también debe mantener sus productos de seguridad y otras aplicaciones actualizadas.  Los atacantes aprovechan vulnerabilidades sin parches en software para comprometer su máquina.  La mayoría de las explotaciones utilizadas por Crowti se dirigen a vulnerabilidades encontradas en aplicaciones plugin del explorador como Java y Flash.  Hacer un hábito el actualizar su software de manera regular puede ayudar a reducir el riesgo de infección.

Además, le pedimos que se una a nuestra Comunidad de servicio de protección activa de Microsoft (MAPS).  Utilizamos los datos que recopilamos de MAPS para crear mejores detecciones y para responder lo más rápido posible.  Esta función se activa de manera predeterminada para Microsoft Security Essentials y Windows Defender en Windows 8.1.  Puede verificar si la función MAPS está activada en su producto de seguridad de Microsoft al seleccionar el tabulador Configuraciones y después MAPS:

 

 

Figura 8: Con la opción MAPS habilitada el producto de seguridad de Microsoft contra antimalware puede aprovechar completamente el servicio de protección en la nube de Microsoft

Como siempre, también recomendamos ejecutar un producto de seguridad en tiempo real como Microsoft Security Essentials u otro producto de software de seguridad confiable.  Usted puede leer más sobre Win32/Crowti y ransomware en general en el sitio Web del Centro de Microsoft para la Protección contra Malware.   

 

MMPC

Original: http://blogs.technet.com/b/mmpc/archive/2014/10/28/the-dangers-of-opening-suspicious-emails-crowti-ransomware.aspx