Se ha detectado una campaña de phishing que suplanta la identidad del servicio de Correos y cuyo objetivo es engañar a los usuarios gracias a la ingeniería social para redirigirlos a una web maliciosa e instarles a descargar e instalar un virus en su equipo que cifrará los archivos del mismo.

Recursos afectados

Potencialmente cualquier usuario que haga uso del correo electrónico y reciba un correo malicioso con las características descritas en este aviso de seguridad.

Solución

Para una versión previa de este tipo de virus existía una solución, Criptolocker: virus que cifra los ficheros del ordenador, pero puesto que los virus cambian constantemente, esta nueva versión actúa de otro modo, por lo que de momento no es posible ofrecer una solución definitiva.

¿No has recibido un correo de estas características? ¿Has recibido el correo pero no has realizado ninguna acción?

No bajes la guardia y permanece atento. Si se cuela en tu bandeja de entrada algún email cuyo asunto es igual o parecido al que hemos descrito en este correo, elimínalo directamente. En ningún caso accedas a enlaces que éste pueda facilitar ni descargues y/o ejecutes posibles ficheros que puedan traer adjuntos.

Realiza copias de seguridad, en un soporte que no esté conectado al ordenador (excepto al hacer la copia) de toda la información que consideres imprescindible para ti, para que en caso de que tu ordenador se vea afectado por algún incidente de seguridad, no la pierdas. Si necesitas ayuda para realizar esta tarea, no dejes de consultar los siguientes contenidos:

¿Has recibido el correo y accedido a las peticiones del mismo?

Si este es tu caso, es más que probable que tu ordenador esté infectado y, además, todos los ficheros almacenados en él estén cifrados.

¿Cómo desinfectar el ordenador?

Para eliminar la infección en principio se puede utilizar cualquier antivirus o antivirus auto-arrancable actualizado, pero dependiendo de la importancia de los datos perdidos y si se va a realizar denuncia, es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte) ya que se podrían eliminar archivos que pudiesen ser necesarios para una investigación.

Si dispones de una licencia de algún antivirus, también puedes contactar con su departamento de soporte técnico para que te indiquen la manera de proceder ya que muy probablemente tengan más información de otros usuarios afectados.

¿Cómo recuperar los datos cifrados?

A día de hoy existen distintas variantes de este tipo de malware y por el momento, debido al tipo de cifrado utilizado, no es posible la recuperación de los datos, por tanto, la única posibilidad de recuperar tus ficheros es desde copias de seguridad que hayas realizado previamente en otros dispositivos o sistemas externos: USB, disco duro extraíble, DVD, la nube, etc.

  • Puedes tratar de recuperar parte de la información con alguna herramienta de recuperación de datos, por ejemplo con http://www.piriform.com/recuva
  • Así mismo, es posible también recuperar algunos ficheros del correo electrónico. En muchos casos algunos archivos se han podido enviar como documentos adjuntos, por lo que recomendamos revisar tanto la bandeja de entrada como la de elementos enviados. Para algunos clientes de correo existen utilidades específicas para recolectar los ficheros sin necesidad de buscar en cada uno de los mensajes, por ejemplo la siguiente es para Outlook: http://www.nirsoft.net/utils/outlook_attachment.html

Si pagas la cantidad de dinero qué solicitan, ¿recuperarás los ficheros cifrados?

No lo recomendamos. Se trata de estafadores y no existe ningún tipo de garantía de recuperar los datos una vez efectuado el pago.

Por último, si no lo has hecho ya, puedes poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado: http://www.osi.es/es/reporte-de-fraude

Evita ser víctima de fraudes de tipo phishingsiguiendo nuestras recomendaciones:

  • No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.

Detalles

Se ha detectado una campaña de correos fraudulentos que se están propagando bajo el falso pretexto de “carta certificada no entregado a usted”, cuyo objetivo es la infección de equipos de usuarios.

El mensaje que suplanta la identidad de correos es el siguiente:

Correo fraudulento que suplanta a Correos

Si el usuario accede al enlace en el correo, será redirigido a una página de aspecto similar a la legítima de Correos. Para dar más credibilidad al fraude, se invita al usuario a introducir un código de verificación (CAPTCHA):

Página web fraudulenta

Una vez introducido el código comenzará la descarga del malware:

Página donde se descarga el malware

El archivo descargado está comprimido en formato .zip y se llama CORREOS.ZIP que al descomprimirlo se obtiene un archivo ejecutable llamado CORREOS.exe que aparenta ser un archivo en formato PDF.

Archivos que se obtienen al descargar el archivo de la web fraudulenta

El fichero CORREOS.exe contiene una variante de Cryptolocker, un ransomware que cifra el contenido del equipo infectado pidiendo al usuario un rescate si quiere descifrar los archivos.

En el caso de que el usuario afectado siga los pasos indicados en la web y descargue e instale el virus, el ordenador y los archivos quedarán inutilizados hasta que se pague el "supuesto" rescate.

Para ampliar los detalles sobre la forma de proceder de este fraude, se puede consultar la siguiente historia real publicada en nuestra web: “Recibí un email de Correos acerca de una carta certificada que infectó mi ordenador”.