You are on page 1of 5

Cryptowall 4.

Departamento Informtica
Departamento Informtica
Softhard Seguridad TI
Softhard Seguridad TI
Apoyo soporte Avira Antivirus

Qu es cryptowall 4.0?
Se trata de una nueva versin de Ransomware que afecta nuestro equipo, tomando
dominio de l y encriptando gran parte de la informacin contenida.
Qu es un Ransomware?
Corresponde a una categora de virus que tiene la capacidad de tomar control de
nuestro equipo y robar o encriptar nuestra informacin, generalmente pidiendo un
pago a cambio de ello. Esta modalidad de virus se ha masificado este ltimo tiempo ya
que la finalidad actual de los hackers no solo es quitar y robar nuestra informacin, de
hecho, en muchos casos no es lo ms importante, sino por el contrario, pedir
recompensas monetarias no menores y poder estafar a empresas y particulares en su
ejecucin.
A lo largo de este pequeo manual veremos algunos mecanismos de infeccin, forma
de evitar estos virus, y como protegernos y aumentar nuestros niveles de seguridad en
la empresa y nuestro hogar.
y en palabras tcnicas, de qu estamos hablando?
Se trata de un troyano de la familia Ransomware, que como hemos mencionado
anteriormente, toma dominio de nuestro equipo y encripta e infecta gran parte de
nuestra informacin. Aunque los documentos oficiales del virus nos hablan de un
cifrado RSA2048, sabemos que la cursividad de los archivos es otra, haciendo casi
imposible su recuperacin si no es por el medio que estos mismos hackers nos ofrecen.
Entre el gran listado de archivos que puede llegar a infectar, encontraremos:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf ,
.gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg,.
hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis,
.sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .VTF, .dazip, .fpk, .mlx, .kf, .iwd, .VPK, .tor,
.psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge,
.kdb, .db0, .dba,. rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav,
.lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, cartera, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css,
.rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2,
.rwl, .raw, .raf , .orf, .NRW, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr,
.dng, .jpe,. jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg,
.pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb,
.odc, .odm , .odp, .ods, .odt

Como podemos apreciar, el alcance de este virus es tal, que en definitiva vuelve
inservible nuestro computador, motivo por el cual debemos estar atentos a los indicios
de infeccin que veremos a continuacin.
Softhard Seguridad TI
+56 2 22742601
SOPORTE@SOFTHARD.CL

Departamento Informtica
Departamento Informtica
Softhard Seguridad TI
Softhard Seguridad TI
Apoyo soporte Avira Antivirus

En primer lugar, y como punto ms importante, NO DEBEMOS ABRIR NINGUN


CORREO DESCONOCIDO, ya que se ha detectado que el UNICO MEDIO DE
MASIFICACION de este virus es la campaa de spam. Motivo de lo mismo es que
debemos estar atentos a correos de las caractersticas como el que vemos a
continuacin.

Y aunque no es el unico formato de correo, debemos cuidarnos de todos aquellos


remitentes desconocidos, y bajo ningn caso descargar archivos adjuntos o hacer click
en enlaces sospechosos que vengan en el correo. QUE NO LES GANE LA CURIOSIDAD,
es mejor quedar con la duda a posteriormente estar lamentando informacion valiosa
de nuestra empresa.
Qu pasa si ya me infecte?
Lamentablemente aun no existe antivirus que detecte esta infeccin, basicamente por
su comprtamiento de infeccion inmediata y no progresiva como el comn de los virus.
An asi, tenemos un par de consejos que nos ayudaran a frenar lo antes posible el
virus, y con ello, evitar la prdida completa de nuestra informacion.
Softhard Seguridad TI
+56 2 22742601
SOPORTE@SOFTHARD.CL

Departamento Informtica
Departamento Informtica
Softhard Seguridad TI
Softhard Seguridad TI
Apoyo soporte Avira Antivirus

En primera instancia, desde el momento que nos infectamos en nuestras pantallas de


cada carpeta, mis documentos, escritorio, entre otras, aparecen archivos
HELP_YOUR_FILES.TXT y HELP_YOUR_FILES.HTML, adems de una imagen como la
que vemos a continuacin pidiendo el pago del rescate.

Softhard Seguridad TI
+56 2 22742601
SOPORTE@SOFTHARD.CL

Departamento Informtica
Departamento Informtica
Softhard Seguridad TI
Softhard Seguridad TI
Apoyo soporte Avira Antivirus

Desde este momento sabremos que nuestro equipo esta infectado y debemos realizar
automaticamente las siguientes acciones para frenar su avance:
-

Desconectar toda carpeta o recurso compartido del equipo, ya que aunque no


se transmite por red, tiene la capacidad de infectar estos documentos.

Desconectar completamente el equipo de la red, ya sea LAN o WAN.

Detener cualquier proceso sospechoso que se este ejecutando. Generalmente


no tiene nombre de fabricante por lo cual se nos hace mas fcil identificarlo.
(RECOMENDADO PARA REALIZARCE POR EL ENCARGADO DE INFORMATICA)

Ir a la carpeta APPDATA del usuario que se infecto y buscar en su raz, asi como
en las subcarpetas LOCAL, LOCAL LOW y ROAMING cualquier ejecutable de
nombre al azar que contenga la fecha y hora de al infeccin y nos parezca
sospechoso. (RECOMENDADO PARA REALIZARCE POR EL ENCARGADO DE
INFORMATICA)

Finalmente si el problema persiste, APAGAR EL EQUIPO y contactar al equipo


de soporte de nuestra empresa que puede guiarlo en la ejecucin de estas
tareas.

Y que pasa con mis archivos? Podre recuperarlos?


Virtualmente se hace imposible una recuperacion total de los documentos
encriptados, sin embargo, si realizamos las tareas anteriores y en el menor tiempo
posible, podremos ejecutar algunas pruebas de recuperacion.
-

En primer lugar descargar la herramienta SHADOW EXPLORER, la cual nos


permite revisar las copias de seguridad de windows (siempre y cuando estas no
hayan sido eliminadas) y desmembrarlas para recuperar archivo por archivo a
un estado anterior a la infeccion.

Si la copia de seguridad no se encontrase en el equipo, debemos buscar el


archivo KEY.DAT, el cual contiene nuestros datos de encriptacion y podria
eventualmente ayudarnos a recuperar informacion. Si este archivo se
encontrase en el equipo, comuniquese inmediatamente con nosotros.

Finalmente y a modo de conclusin, recordar que somos el primer nivel de seguridad


de nuestra empresa, por lo cual debemos tener cuidado con cada correo que
abrimos, asi como tambien REALIZAR RESPALDOS DE DATOS IMPORTANTES para no
lamentarlos en el futuro.
Softhard Seguridad TI
+56 2 22742601
SOPORTE@SOFTHARD.CL