none
Cryptolocker RRS feed

  • Pregunta

  • Se encriptan servidores sin recibir correo.

    En varios clientes se han encriptado todos los archivos del servidor tanto sistema como datos, sin motivo aparente, ademas ningún equipo de la red se ha visto afectado. Me comentan que no han visto ningún correo raro ni nada. Sospecho del puerto abierto de escritorio remoto pero no es el 3389 los he cambiado por otros en todos los casos diferentes.

    Alguna idea?? estoy preocupado

    Os 

    jueves, 25 de agosto de 2016 22:08

Todas las respuestas

  • Hola Santi, 

    Cryptolocker pertenece a la familia del malware Ransomware y como buen malware no solo se puede propagar por correo sino que también podemos infectarnos descargando un archivo de cualquier lado o pueden colarnos-lo explotando alguna vulnerabilidad en el software que tengamos instalado. 

    Mas info: 

    • https://es.wikipedia.org/wiki/Ransomware

    No obstante ya ha aparecido alguna solucion para descifrar el contenido de CryptoLocker: 

    • https://www.fireeye.com/blog/executive-perspective/2014/08/your-locker-of-information-for-cryptolocker-decryption.html

    Por otro lado como indican en bastantes blogs de seguridad informática,  "el grupo detrás de el mismo parece conseguir acceso previo a los sistemas (Windows Server) a través de ataques de fuerza bruta al servicio de escritorio remoto en el puerto 3389" Así que has hecho bien. 

    Para finalizar y por si tu Ransomware es una variante de Cryptolocker te comparto la siguiente lista con soluciones de algunos, para que puedas buscarlo tu mismo: 

    • https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

    Espero que te sirva de ayuda. 

    Un saludo. 

    miércoles, 31 de agosto de 2016 6:55