La PC que tiene asignada el sr. Presidente presenta una infección de virus que se manifestó según lo indicado por el el día 19 de mayo del 2015

...

Gusano: Un gusano es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. Los gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en tu sistema, por lo que tu ordenador podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador a gran escala.

Malware: El malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. El software se considera malware en función de los efectos que provoque en un computador. El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables.

Virus CTB-Locker

Es una infección peligrosa ransomware que codifica archivos y requiere que los usuarios de los ordenadores infectados pagarán el descifrado. La infección de ransomware CTB-Locker se ha Instalado por un troyano, que se consigue en la computadora a través de sitios web inseguros y sitios web de intercambio de archivos. No se sospecha que la computadora contenga un troyano porque el archivo de la infección se compone de dígitos seleccionados al azar.

Poco después de ejecutar al troyano, el troyano descarga “CTB-Locker”, que codifica una amplia gama de archivos almacenados en lugares diferentes. El malware CTB-Locker cifra archivos con extensiones, como .doc, .jpg,. mp4, .cer, .pem, .db,.ppt, y muchos otros. Además, durante el cifrado, la infección crea tres archivos, que son AllFilesAreLocked 1716900.bmp, DecryptAllFiles 1716900.txt y sunlrad.html. Los números en los nombres de archivo pueden variar en diferentes equipos; Sin embargo, los archivos contienen mensajes que están disponibles en inglés y ruso, informando al usuario sobre los cambios realizados en el equipo y lo que más acciones tienen que ser tomado.

Por otra parte, CTB-Locker er deshabilita el archivo explorer.exe, que asegura la eficiente interacción entre usted y la interfaz del sistema operativo. El cierre de los resultados de los procesos en la pantalla de una pantalla negra, que es un síntoma temporal. Con el fin de restaurar la barra de tareas, los iconos del escritorio y otras características de la interfaz, tienes que reiniciar el equipo.

Es importante señalar que la infección de ransomware se borra automáticamente tan pronto como sus archivos han sido cifrados, y la única amenaza en tu PC es el caballo de Troya. Después de reiniciar el ordenador, puede acceder a Internet y descargar un programa anti-malware que puede eliminar el programa malicioso.

En cuanto a los archivos encriptados, ellos no pueden descifrarse sin una llave especial, que se almacena en un servidor del atacante. Sin ellos clave, todo lo que puedes hacer es pagar el rescate requerido, la suma de los cuales no es fijo. Por ejemplo, usted puede solicitarse a pagar 24 USD o alguna otra cantidad de dinero. Según la advertencia, la carga debe ser pagada en bitcoins, que son una moneda electrónica generada por ordenadores conectados a una red especial. No hay ninguna garantía de que después de pagar la suma solicitada recuperará acceso a sus datos.

Imagen de muestra de la PC

[pic 6]

[pic 7]

[pic 8]

Métodos de propagación

Normalmente un ransomware se transmite tanto como un troyano como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará y cifrará los archivos del usuario con una determinada clave, que sólo el creador del ransomware conoce y proveerá al usuario que la reclame a cambio de un pago.

Conclusiones

No se tiene respaldados los datos almacenados en las PCs del sr. Presidente y al parecer de ningún funcionario de alto nivel en la sede Of. Principal porque sería de mucha seguridad el tener contingencia de estos datos y así poder restaurar la data después de encontrarse con programas maliciosos tales como CTB-Locker u otro virus informático a su estado normal. Por otra parte, el equipo debe protegerse contra el malware y spyware para minimizar el riesgo de que el sistema afectado por amenazas basadas en Internet.

El antivirus McAfee en las opciones que tienen al parecer todos los clientes instalados no alerta visualmente el virus infectado en la PC porque sería de mucha utilidad tener una alerta activa permanentemente hasta que se dé solución al problema presentado y en el caso de la PC del sr. Presidente desde el 24 de Abril fue detectado en su PC pero al parecer no notifico visualmente al usuario para las acciones respectivas.