Ransomware Cerber para Office 365

Fecha de publicación: 
01/07/2016
Importancia: 
3 - Media
Recursos afectados: 

Office 365.

Descripción: 

El ransomware Cerber está ahora afectando a usuarios de Office 365. Anteriormente ha afectado a otras versiones de Office. Se distribuye mediante correo electrónico con un adjunto autoejecutable que infecta su ordenador a través de las macros de Office. Si se descarga este fichero, reinicia el ordenador ejecutando el ransomware que cifra los ficheros de la víctima —los secuestra— y solicita un rescate en bitcoins a cambio de liberarlos.

Solución: 

De momento no existe solución para descifrar los ficheros. Este aviso se actualizará cuando se haya probado una solución.

Se recomienda NO PAGAR el rescate, pues, además de no tener garantía de recuperación, esto fomenta la actividad fraudulenta.

Si se dispone de una copia de seguridad se recomienda eliminar cuanto antes el malware del ordenador utilizando un antimalware legítimo actualizado. A continuación se podrán recuperar los datos de la copia de seguridad.

Para protegerse contra este y otros tipos de malware:

  • Desactivar las macros en Microsoft Office.
  • Realizar copias de seguridad y conservarlas en otra ubicación, separadas físicamente y sin conexión al ordenador. No utilizar copias de seguridad en la nube pues algunos tipos de malware pueden infectarlas también.
  • Concienciar a los empleados para no descargar ficheros adjuntos ni hacer clic en enlaces de mensajes de procedencia desconocida, aprendiendo a identificar mensajes de spam y phishing.
  • Instalar y mantener actualizada una solución antimalware.

Si estás afectado contacta con tu soporte tecnológico para:

  • Hacer una copia en disco duro externo de los ficheros cifrados para poder recuperarlos más adelante cuando exista solución.
  • Solicitar un clonado del disco de los equipos afectados para aportarlo como evidencia si decides denunciar.
Detalle: 

El usuario recibe un mensaje con un adjunto ejecutable:

mensaje con adjunto ejecutable

Si el usuario lo descarga, se reinicia el ordenador y se autoejecuta el malware cifrando los ficheros tipo .jpg, .doc, .raw, .avi etc. a los que añade la extensión «.cerber». Después crea 3 tipos de archivo diferentes en cada carpeta que contenga archivos encriptados (#DECRYPT MY FILES#.txt, #DECRYPT MY FILES#.html, #DECRYPT MY FILES#.vbs) con instrucciones paso a paso para liberarlos (sólo con un software de los ciberdelincuentes y a través de la red TOR), en un plazo de tiempo.

mensaje ransomware cerber 1

Las instrucciones indican cómo pagar el rescate y amenazan que de no hacerse efectivo en el tiempo estipulado se duplicará.

mensaje ransomware cerber 2.

Este malware además de mostrar la notificación toma control del sistema de audio para leerla («sus documentos, bases de datos y otros archivos importantes han sido encriptados»), avisando de que ha cifrado los ficheros y del importe del rescate para descifrarlos.

 ¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o sigue nuestros perfiles de redes sociales en twitter @incibe y facebook: "protegetuempresa". Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Etiquetas: