Antivirus Nod32 – Alerta Campañas de FileCoder.AD en Latinoamérica

Antivirus Nod32 – Alerta Campañas de FileCoder.AD en Latinoamérica

Desde temprano en el día de hoy hemos estado recibiendo reportes de casos de una amenaza conocida y detectada por nuestros producto como Win32/FileCoder.DA. A lo largo de las horas del día de hoy múltiples reportes llegaron a nuestros sistemas de Soporte y sistemas de alerta temprana. Desde la base de firmas 11039 se agregó una nueva firma para cubrir esta nueva ola de ataques.

Según la información que relevamos, la propagación es a través de correos electrónicos en donde el adjunto es una variante de esta amenaza. En casos de reportes de esta infección desde el Laboratorio de ESET Latinoamérica les recomendamos reportar los casos a nuestro equipo de Soporte (samples@esetcol.com) considerando la siguiente información:

• EAV y nombre del cliente
• Reportar correos de propagación con la muestra adjunta. Comprimidos con contraseña “infected” sin comillas.
• Relevar en el cliente la configuración del producto (Una copia de la configuración de producto es de ayuda para entender mejor el caso)
• Reporte de Archivos en cuarentena desde ESET Remote Administrator. De no ser posible relevar un informe de cuarentena de los Endpoint afectados.
• Reporte de detecciones de ERA de ser posible en caso contrario informe de detecciones en el Endpoint.

Entendemos la complejidad de este caso es importante entender qué en caso similares a este las amenazas y variantes de FileCoder utilizan un cifrado asimétrico, por lo cual no es tarea sencilla recuperar las claves con las que cifraron los archivos.

Sabemos que el caso es complejo y cada vez más común. Les pido por favor tomar una media proactiva ante estos casos y notificarnos de los inconvenientes que vayan surgiendo. En base a sus reportes e informes continuaremos trabajando para mejorar la protección de los clientes de ESET garantizando la mejor detección y una actitud proactiva ante las nuevas campañas de propagación de códigos maliciosos.

La familia de códigos maliciosos que ESET detecta como Win32/FileCoder, son un tipo de Ransomware que cifra los archivos del equipo infectado y luego solicita un rescate. Diferentes campañas de propagación se han detectado en toda la región desde finales del 2013. En We Live Security podrán encontrar información acerca de algunos casos relacionados a esta amenaza:

- http://www.welivesecurity.com/la-es/2014/03/25/ransomware-bitcoins-tor-cibersecuestro/

- http://www.welivesecurity.com/la-es/2014/05/08/empresa-argentina-victima-ransomware-2500-dolares-rescatar-archivos/

Estaremos trabajando para lanzar una alerta con el análisis de esta nueva variante en We Live Security.

Ante cualquier consulta o pregunta no duden en contactarme.

Cordial Saludo,

--
Diana Carolina Marín
Director de Ingeniería y Educación.
Especialista en Seguridad Informática y Computación Forense
Frontech Ltda

Los comentarios están cerrados.