'CRYPTOLOCKER', virus a través de e-mails

Seguro que no es la primera vez que recibe un correo electrónico mal escrito y de procedencia incierta. La mayor parte de las veces los omitimos o suponemos que podría ser un virus y puede que estemos en lo cierto. Sin embargo, los correos infectados con virus no siempre se detectan tan fácilmente.

Este es el caso de 'CryptoLocker', un virus que se propaga masivamente a través de e-mails que simulan provenir de direcciones de correo reales y que nos informan sobre un paquete que no ha podido ser entregado. El dominio utilizado en muchos de estos correos es correos24.net

Como se puede ver en el whois:

 Domain Name: CORREOS24.NET
   Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
   Whois Server: whois.reg.ru
   Referral URL: http://www.reg.ru
   Name Server: NS1.REG.RU
   Name Server: NS2.REG.RU
   Status: clientTransferProhibited
   Updated Date: 03-dec-2014
   Creation Date: 03-dec-2014
   Expiration Date: 03-dec-2015

Tras estos correos existe una campaña previa OSINT para dirigir el ataque de forma selectiva a personas a quienes les llegan los correos a su nombre y apellidos, lo que proporciona credibilidad a dichos e-mails y muchos receptores los abren descargando de este modo el Ransomware.

Actualmente, muy pocos motores antivirus detectan la variante de CryptoLocker y por ello, os recomendamos bloquear el dominio correos24.net e instalar Anti Ransom para prevenir infecciones.