Capsule8 es una plataforma de detección de amenazas zero-day para Linux

PorSeguridad Hals

Capsule8 es una plataforma de detección de amenazas zero-day para Linux

Linux tiene fama de ser seguro, pero eso no quiere decir que de por sí sea un núcleo (o un sistema si se combina con GNU o Android) invencible y carente de vulnerabilidades, y viendo como cada vez se descubren problemas más complejos y difíciles de combatir, se hace necesaria la utilización de herramientas que detecten las amenazas incluso antes de su publicación.

Con el fin de evitar los peligros todavía por descubrir en Linux, la startup Capsule8 publicó el pasado 11 de abril de 2018 la versión 1.0 de su plataforma de detección de amenazas zero-day, una meta que ha sido alcanzada después de un año de desarrollo. Su objetivo es ayudar a la seguridad a escala en tiempo real de las cargas de trabajo de Linux, estén contenedorizadas o no, frente a las amenazas zero-day, entre ellas los ataques de tipo canal lateral como Meltdown y Spectre.

Capsule8 fue fundado en febrero de 2017 y consiguió recaudar 8,5 millones de dólares de fondos de riesgo. Según John Viega, uno de los cofundadores, la detección de amenazas zero-day de Capsule8 implica tener una señal muy alta a una relación de ruido muy baja para poner en evidencia la explotación de las vulnerabilidades en entornos de producción. En lugar de escanear para hallar las que ya están descubiertas con su código CVE, lo que hace esta plataforma es buscar señales sobre procesos de explotación de vulnerabilidades zero-day.

Esta forma de trabajar con las amenazas ha recibido el nombre de “minas terrestres del kernel”, que básicamente son disparadores colocados en áreas asociadas a procesos que normalmente no deberían interaccionar con otros regulares autorizados y las aplicaciones en uso. No se trata de una técnica de engaño, las cuales usan falsas flags que los hackers podrían seguir en un intento de engañarlas para que sigan un camino y así contenerlas.

Con un panorama de las amenazas cada vez más complejo, herramientas como Capsule8 podrían ser útiles para evitar grandes daños en los entornos corporativos.

PorSeguridad Hals

WPA3 el nuevo cifrado para redes WIFI

Después de la falla encontrada en Octubre del 2017 llamada Key Reinstallation AttaCK o KRACK, que le permite a los atacantes poder sniffear el tráfico entre los dispositivos y el router o Access point, muchos fabricantes lanzaron un parche que arreglaba esta falla, pero aun así la imagen del WPA2 quedó dañada y por eso es que han sacado este nuevo cifrado llamado WPA3

Si retrocedemos un poco en la historia, uno de los primeros cifrados fue el WEP, el cual podía romperse con facilidad por medio de la captura de paquetes interceptados en el aire. Tras esta falla de seguridad, se creó el protocolo WPA (Wi-Fi Protected Access) y posteriormente apareció WPA2 con mejoras en el cifrado e implementaciones como el AES (Advanced Encryption Standard) que cuenta con los 48 bits de cifrados heredados del WPA sumados los 128 bits del nuevo protocolo, lo cual lo volvía muy seguro, pero con las fallas recientemente conocidas, es posible vulnerarlo.

A continuación un detalle de los ataque que se pueden realizar a cada uno de los cifrados

WEP

ARP Request Replay Attack
Chop-Chop
Fragmentación
Caffe-latte
P0841 attack
Passive capture

WPA

Brute Force (Diccionario / Combinación de caracteres)
Evil Twin Attack
KRACK

WPA con WPS

Pin brute force

Cambios que trae WPA3

Este nuevo cifrado tendrá 4 nuevas características y ofrecerán una protección más robusta a usuarios finales como a empresas.

Estas cuatro características son:

Permitiran al usuario elegir sus propias contraseñas aunque estas no sean seguras
Simplificará el proceso de configuración
Ayudará a fortalecer la privacidad de los usuarios en redes abiertas, cifrando datos individualizado
Tendrá una suite de seguridad de 192 bits

PorSeguridad Hals

Vulnerabilidad en Microsoft Outlook pone en riesgo tu contraseña de Windows

Microsoft Outlook es uno de los clientes de correo electrónico más populares de la actualidad, y el hecho de que esté incorporado junto al resto de herramientas de Office, da la posibilidad a los usuarios de acceder de forma más rápida a la información de sus correos. Asimismo, esta plataforma nos permite consultar cualquier cuenta de correo electrónico, incluso la del propio Gmail.

Sin embargo, las medidas de seguridad con la que cuentan los clientes de correo electrónico no siempre son suficientes y, ahora, un experto en seguridad informática del CERT ha revelado detalles sobre una vulnerabilidad importante en Microsoft Outlook, que al ser aprovechada de forma correcta, puede permitir robar con facilidad nuestra contraseña de Windows.

El error de seguridad, con el nombre CVE-2018-0950, fue descubierto y notificado a la compañía de Redmond hace más de un año. En este sentido, este fallo permitiría a un hacker hacerse con datos sensibles del sistema operativo, como las contraseñas. Solo basta con convencer a los usuarios de abrir la ‘vista previa’ de un correo enviado a su bandeja de Outlook, que incluye un enlace malicioso.

El investigador de seguridad ha dicho que este error puede deberse a la manera en la que Microsoft Outlook procesa los datos OLE que se muestran externamente cuando previsualizamos un correo RTF, debido a que de esta forma se da inicio a una conexión SMB. Así, el hacker incluiría un objeto OLE en el correo electrónico y se cargará mediante un servidor SMB bajo el control del hacker.

Al ejecutar esta acción, el delincuente puede obtener el usuario y la contraseña del usuario, lo que le da acceso temporal a la PC. Todo esto ocurre con solo abrir la vista previa del correo.

¿Cómo protegerse de este fallo?

Esta semana, Windows lanzó un parche de seguridad para hacer frente a esta vulnerabilidad, sin embargo, se ha reportado que el parche no soluciona el problema totalmente. Por ello, si queremos que el inconveniente sea resuelto, debemos usar una contraseña muy complicada y segura, y cumplir los siguientes pasos:

Ubica tu router y bloquea los puertos usados por SMB, es decir, el TCP 445, 137, 139, y el UDP 139 y 139.
Bloquea la autenticación SSO de NTLM en tu PC.
No abras enlaces que parezcan sospechosos en tu bandeja de entrada de correo electrónico.

PorSeguridad Hals

Conoce las novedades del sistema operativo Linux más seguro, Qubes OS 4.0

Qubes OS es uno de los sistemas operativos más seguros que podemos encontrar actualmente. Este sistema operativo está hecho por y para la seguridad y privacidad de sus usuarios, de hecho. Hoy el equipo de desarrollo ha publicado la nueva versión de este sistema, Qubes OS 4.0, con importantes novedades y mejoras respecto a las versiones anteriores. ¿Quieres saber todas las novedades de este nuevo sistema operativo?

Principales novedades de Qubes OS 4.0, el sistema operativo más seguro del mundo

Esta nueva versión incorpora una API de administración de Qubes, que está enfocada para la administración de los endpoints, además, se ha optimizado al máximo para la separación completa entre usuarios y administradores del sistema. Gracias a esta API, se va a poder prohibir al usuario interferir con las políticas aplicadas por el administrador. Lo mismo ocurre al revés, el administrador tendrá prohibido explícitamente robar o interferir con los datos del usuario, algo totalmente revolucionario ya que hasta ahora lo normal es que el administrador tenga “poder” sobre todo el sistema. Otro aspecto destacable es que se pueden implementar múltiples máquinas virtuales de gestión, con desconfianza mutua o semi desconfianza. Os recomendamos leer en detalle todas las características de la API de administración de Qubes en su web oficial.

El corazón de la nueva versión de Qubes OS 4.0, es sin lugar a dudas el Qubes Core Stack, o cómo están configuradas las diferentes máquinas virtuales para potenciar al máximo el aislamiento entre el núcleo, interfaz gráfica de usuario, aplicaciones, dispositivos USB, firewall y otros módulos fundamentales en el sistema operativo.

Otro aspecto muy importante es que se ha realizado una virtualización completa de las máquinas virtuales, protegiendo a los usuarios frente a Meltdown por ejemplo. De esta forma, todas las VM estarán virtualizadas completamente por defecto. Para facilitar el despliegue de las máquinas virtuales, se han diseñado diferentes plantillas para crearlas fácilmente, sin necesidad que el administrador lo haga manualmente. También se ha mejorado el administrador de volúmenes de máquinas virtuales, permitiendo que ahora sea mucho más fácil mantenerlas en dispositivos externos como discos duros USB.

Con el objetivo de proporcionar el mejor cifrado posible a las copias de seguridad, se ha incorporado el algoritmo scrypt, uno de los algoritmos de hashing más seguros actualmente. Debemos recordar que este algoritmo hash es KDF (Key Derivation Function), por tanto, no tiene una longitud fija como SHA256crypt entre otros.

A partir de este momento, las copias de seguridad sin cifrar no estarán disponibles, todo ello con el objetivo de proporcionar siempre la mejor seguridad a sus usuarios. Algunos cambios más que ha sufrido esta nueva versión Qubes OS 4.0 es por ejemplo el uso de kernel Linux 4.9.x, la posibilidad de poner IP a las máquinas virtuales de manera más flexible, un nuevo Sistemas operativos Linux ideales para paranoicos de la privacidad

En la web oficial de Qubes OS 4.0 podéis ver en detalle todos los cambios que incorpora esta nueva versión mejorada. Les recomendamos acceder a nuestra sección de seguridad informática, donde encontraréis una gran cantidad de manuales para asegurar diferentes servicios en tu sistema.

PorSeguridad Hals

Así hackean utilizando la “Asistencia Remota” de Windows

La Asistencia Remota de Windows es una herramienta diseñada para permitir a un usuario, normalmente un técnico o alguien con conocimiento, conectarse de forma remota a cualquier ordenador, con permiso del usuario, para ayudarle a solucionar algún problema en el equipo. Esta función lleva disponible en el sistema operativo desde Windows XP hasta el actual Windows 10 y, aunque generalmente no se ha oído hablar de problemas relacionados con esta herramienta, hace algunas horas se ha dado a conocer un nuevo vector de ataque que, utilizando esta herramienta, se puede utilizar en ataques informáticos dirigidos.

Un investigador de seguridad ha dado a conocer un fallo de seguridad en esta herramienta, fallo de seguridad registrado como CVE-2018-0878 (y solucionado con los últimos parches de seguridad de marzo de 2018) que podía aprovecharse fácilmente en ataques dirigidos para hackear ordenadores de forma remota.

Cómo funciona esta vulnerabilidad en la Asistencia Remota de Windows

La Asistencia Remota de Windows es una herramienta similar a TeamViewer, basada en Escritorio Remoto, que nos permite pedir ayuda a un contacto mediante un fichero generado por ella misma llamado “Invitation.msrcincident” que, al abrirlo, se conecta directamente al equipo que nos ha solicitado la ayuda.

El fichero que genera esta herramienta no es más que un fichero XML, fichero que, además, incluye un fallo de seguridad que permite cargarle un exploit “XML External Entity”. De esta manera, cuando la víctima, quien supuestamente va a brindar ayuda, intenta abrir el fichero “Invitation.msrcincident”, se ejecuta el exploit en su sistema, exploit que puede ser confirmado para enviar cualquier archivo a un servidor remoto.

Los piratas informáticos podrían utilizar esta técnica para robar, por ejemplo, ficheros de configuración, bases de datos, copias de seguridad, o cualquier otro archivo sin que el usuario que ha ejecutado inocentemente el fichero para brindar asistencia remota. Por suerte, dada la naturaleza de este fallo de seguridad, no se puede explotar de manera masiva, sino que solo puede ser explotado en ataques dirigidos.

Cómo protegernos de esta vulnerabilidad en la Asistencia Remota de Windows

Como hemos dicho, Microsoft ha solucionado ya este fallo de seguridad con los últimos parches de seguridad de marzo de 2018 (desde Windows 7 en adelante), por lo que si tenemos nuestro sistema operativo actualizado no tenemos de qué preocuparnos, y aunque recibamos esta invitación maliciosa y la ejecutemos, no nos infectará.

De todas formas, la mejor forma de protegernos es desconfiando siempre de las invitaciones para brindar Asistencia Remota, ejecutando exclusivamente aquellas que vengan de personas de total confianza. Y siempre con nuestro Windows actualizado.

PorSeguridad Hals

La contraseña maestra de Firefox ha puesto en peligro tus datos durante 9 años

Una de las opciones de seguridad adicionales que nos ofrece tanto Firefox como Thunderbird es el uso de una “contraseña maestra“. Esta contraseña, que podemos configurar nosotros mismos desde su panel de opciones, nos permite cifrar todas las demás contraseñas guardadas en el navegador o en el cliente de correo de manera que todas ellas queden protegidas y nadie, sin dicha contraseña, pueda recuperarlas. O al menos así es como debería actuar.

Hace algunas horas se daba a conocer un fallo de seguridad en el uso de estas contraseñas maestras de las aplicaciones de Mozilla que, durante 9 años, ha estado poniendo en peligro nuestros datos. El fallo en cuestión se encuentra en que esta función emplea un algoritmo SHA-1 para cifrar las contraseñas, algoritmo inseguro y que puede permitir a cualquier usuario con malas intenciones descifrar estas contraseñas utilizando fuerza bruta sin demasiada dificultad.

Esta vulnerabilidad ya fue detectada y reportada hace 9 años por un investigador de seguridad, sin embargo, Mozilla abrió la incidencia en su día pero, desde entonces, Mozilla la ha dejado en el olvido, hasta ahora.

Mozilla acabará con este problema con el lanzamiento de Lockbox, su nuevo gestor de contraseñas

Tras más de 9 años protegiendo de manera inadecuada nuestras contraseñas, un investigador volvió a comentar en dicha vulnerabilidad, causando una nueva reacción por parte de Mozilla respecto a este problema de seguridad.

Tras 9 años de silencio, finalmente Mozilla ha vuelto a hablar sobre este fallo de seguridad, asegurando que tiene intenciones de ponerle solución en breve. Concretamente, Mozilla ha hecho referencia a Lockbox, el nuevo gestor de contraseñas que va a llegar a Firefox (y probablemente a Thunderbird) para que los usuarios puedan guardar sus contraseñas y utilizarlas de la manera más sencilla posible.

Este nuevo gestor de contraseñas se encuentra ya en fase de desarrollo, y cualquier usuario interesado puede probarlo descargando y compilando la extensión de Lockbox desde el siguiente enlace.

Sea seguro o inseguro, el uso de una contraseña maestra para proteger nuestras contraseñas es imprescindible, ya que, de lo contrario, cualquiera con acceso al equipo podría verlas sin ninguna dificultad. SHA-1, aunque permita descifrar las contraseñas sin ninguna dificultad, al menos aplica una capa de seguridad superficial a estas que ya obliga a realizar la tarea de descifrar estos datos.

Por el momento no se sabe exactamente cuándo llegará este gestor de contraseñas aportando la nueva capa de seguridad a las mismas, pero, según parece, Mozilla no tiene muchas intenciones se cambiar el actual algoritmo SHA-1 por otro, como Argon2, que impida que cualquiera pueda descifrar las contraseñas.

PorSeguridad Hals

Espionaje móvil a gran escala en 21 países

Un grupo de investigadores ha descubierto una campaña de espionaje móvil. Ha recopilado información personal de las víctimas desde 2012. Ha sido revelado recientemente, de forma accidental, gracias a un servidor expuesto abiertamente. Se trata de uno de los primeros ejemplos de operaciones de hackeo a gran escala en teléfonos móviles, en vez de a ordenadores.
Campaña de espionaje móvil

El grupo detrás de esta amenaza se apoda Dark Caracal. Afirmó haber robado cientos de gigabytes de datos, incluida información de identificación personal y propiedad intelectual, de miles de víctimas en más de 21 países diferentes. Todo ello según un nuevo informe de Electronic Frontier Foundation (EFF) y la firma de seguridad Lookout.

Después de filtrar por error algunos de sus archivos a internet, el grupo de piratas informáticos fue rastreado hasta un edificio propiedad de la Dirección General de Seguridad libanesa. Una de las agencias de inteligencia del país con sede en Beirut, la capital del país.

Dark Caracal ha estado llevando a cabo campañas de ciberespionaje multiplataforma. Esto incluye 11 variantes de malware para Android, 26 de escritorio en Windows, Mac y Linux, y 60 basados ​​en dominio/IP.

21 países

Al menos desde 2012, el grupo ha ejecutado más de diez campañas de piratería dirigidas principalmente a usuarios de Android en al menos 21 países, incluidos América del Norte, Europa, Oriente Medio y Asia.

Los datos robados por Dark Caracal incluyen documentos, registros de llamadas, mensajes de texto, grabaciones de audio, contenido seguro del cliente de mensajería, historial de navegación, información de contacto, fotos y datos de ubicación. Básicamente, toda la información que permite al grupo identificar a la persona.

Para llevar a cabo su trabajo, Dark Caracal no dependía de ningún “exploits de día cero”, ni tenía que llevar el malware a Google Play Store. En cambio, el grupo usó ingeniería social básica a través de publicaciones en grupos de Facebook y mensajes de WhatsApp. Con ello alentaban a los usuarios a visitar un sitio web controlado por piratas informáticos y obtener permisos de aplicaciones.

Como explica el tecnólogo Cooper Quintin, uno de los aspectos más interesantes es que no necesitan un exploit sofisticado. Simplemente utilizaban los permisos para acceder a las aplicaciones. Con esto se demuestra que no es complicado crear una estrategia que permita a los gobiernos espiar.

Cómo ha funcionado

Una vez engañaban a los usuarios para que fueran a los sitios webs maliciosos, las víctimas recibieron actualizaciones falsas de aplicaciones de mensajería segura, incluyendo WhatsApp, Signal, Threema Telegram y Orbot (un cliente Tor de código abierto para Android). Con ello descargaban malware Dark Caracal, apodado Pallas.

Pallas es una pieza de malware de vigilancia que es capaz de tomar fotografías, robar datos, espiar aplicaciones de comunicación, grabar vídeo y audio. También puede adquirir datos de ubicación y robar mensajes de texto, incluidos códigos de autenticación de dos factores, de los dispositivos de las víctimas.

Además de su propio malware personalizado, Dark Caracal también usó FinFisher, una herramienta de vigilancia altamente secreta que a menudo se comercializa para agencias policiales y gubernamentales. Además usaron una herramienta de spyware de escritorio recientemente descubierta, denominada CrossRAT, que puede infectar Windows, Linux y sistemas MacOS.

Se estima que Dark Caracal logró robar con éxito más de 252.000 contactos, 485.000 mensajes de texto y 150.000 registros de llamadas de dispositivos Android infectados. Datos confidenciales como fotos personales, contraseñas bancarias y números PIN también fueron robados.

La mejor manera de protegerse de estos ataques de malware basados en Android es siempre descargar aplicaciones desde el mercado oficial de Google Play Store en lugar de desde cualquier sitio web de terceros.

PorSeguridad Hals

Malwarebytes lanza una extensión de Firefox para protegerte mientras navegas

Cada vez son más las páginas web que ocultan todo tipo de amenazas, desde exploits, troyanos y ransomware hasta los nuevos scripts que utilizan nuestro PC para minar criptomonedas. Aunque los antivirus nos protegen constantemente de todas estas amenazas, en ocasiones la seguridad que nos ofrecen estas extensiones puede no ser suficiente. Por ello, siempre hay empresas de seguridad, como Malwarebytes, que busca ofrecernos una nueva capa de seguridad que nos proteja de estas amenazas, como la nueva extensión de Malwarebytes para protegernos del malware mientras navegamos por Internet.

Este mismo fin de semana, la empresa de seguridad Malwarebytes publicaba en la tienda de extensiones de Firefox una nueva extensión de seguridad especialmente diseñada para permitirnos proteger lo mejor posible nuestra navegación y evitar que el malware, u otras amenazas, puedan poner en peligro nuestra seguridad.

Esta extensión se encuentra en fase “beta” aún y, de momento, solo está disponible para Firefox, y es que Malwarebytes, hasta ahora, no ha decidido lanzarla también para Google Chrome, por motivos que se desconocen.

Los usuarios de Firefox ya pueden descargar esta extensión (desarrollada en formato WebExtension) de forma gratuita desde el siguiente enlace a la tienda de extensiones de Mozilla.

A continuación, vamos a ver cómo funciona esta nueva extensión de Firefox.
Cómo funciona la nueva extensión de Malwarebytes para Firefox

Una vez instalada la extensión en nuestro navegador, lo primero que veremos será un nuevo icono, con forma de M azul (el conocido logotipo de Malwarebytes), que nos aparece a la derecha de la barra de direcciones del navegador. Si pulsamos sobre él podremos abrir la nueva página de configuración de esta extensión, página similar a la siguiente.

Extension Malwarebytes Firefox

Como podemos ver, es muy sencillo configurar esta extensión. En esta página tenemos una casilla que nos permite activar y desactivar la protección global de la extensión y, además, podemos activar o desactivar individualmente cada uno de los 4 módulos de seguridad que nos ofrece:

Protección contra el malware.
Protección contra las estafas.
Protección contra la mala publicidad o los scripts de rastreo.
Protección contra el clickbait.

Además de estos módulos de seguridad, también podemos configurar una lista de exclusiones para evitar que algún falso positivo pueda impedirnos visitar alguna web, o si por alguna razón queremos visitar alguna página web que nos marca la extensión como maliciosa. Como hemos dicho, esta extensión aún se encuentra en fase experimental, por lo que puede no funcionar correctamente y, además, es posible que en futuras versiones cuenta con nuevos escudos de seguridad o nuevas características para ofrecer una protección mucho más completa.

Como podemos ver, una extensión muy sencilla de utilizar ideal para poder contar con una capa de seguridad adicional para Firefox, además de nuestro antivirus convencional y del motor Google SafeBrowsing que utiliza el navegador de Mozilla por defecto para protegernos de las diferentes amenazas.

Gracias a esta extensión, podremos navegar de forma un poco más segura, pero eso sí, no debemos confiarnos nunca al 100%, ya que nunca podemos saber con certeza dónde se esconderá una nueva amenaza informática que pueda poner en peligro nuestra seguridad.

PorSeguridad Hals

Aplicación para añadir cifrado a tus correos, ProtonMail Bridge

ProtonMail no quiere que el correo electrónico cifrado esté disponible sólo para usuarios avanzados y expertos en tecnología. En este sentido, la plataforma de correo electrónico seguro, con sede en Suiza, acaba de lanzar ProtonMail Bridge, una innovadora aplicación de escritorio compatible con los clientes de correo electrónico Microsoft Outlook, Thunderbird, y Apple Mail, aunque también puede ser compatible con cualquier otro cliente de correo electrónico de escritorio que use los protocolos IMAP y SMTP.

ProtonMail Bridge tenderá un puente entre los clientes de correo electrónico de escritorio con los servidores de ProtonMail para encargarse de todo lo relacionado con el cifrado, descifrado y gestión de claves, evitando al usuario medio la necesidad de cambiar sus comportamientos a la hora de manejar sus mensajes de correo electrónico, beneficiándose de la privacidad y seguridad que le otorgará el cifrado de extremo a extremo, tal y como señala el Dr. Andy Yen, cofundador de ProtonMail.

Además de las señaladas ventajas, los usuarios de clientes de correo electrónico también tendrán la posibilidad de buscar textos en el cuerpo completo de los mensajes o incluso usar múltiples cuentas en los clientes. Más adelante, tendrán la capacidad de realizar importaciones y exportaciones entre cuentas, función que ahora mismo está en desarrollo.

ProtonMailBridge-Cuenta

Para usar ProtonMail Brigde es necesario disponer de cuenta de usuario en ProtonMail, la cual habrá que añadir tanto en la nuevo aplicación como en el cliente de escritorio, además de configurar una serie de aspectos en el cliente (puertos, contraseñas, etc).

ProtonMail Bridge comienza ahora su andadura con su disponibilidad en los sistemas de escritorio Windows y MacOS, aunque la plataforma de correo electrónico seguro lanzará una versión para Linux en la primavera del próximo año.

descargar……https://protonmail.com/bridge/download

PorSeguridad Hals

El nuevo Ransomware Kristina, encripta y roba archivos

Hals Intelligence te informa que en los últimos días se ha comenzado a ver un nuevo ransomware denominado Kristina. Lo que es interesante con esta infección particular es que no cifrar los archivos automáticamente. Al parecer, luego de infectar la computadora, los delincuentes seleccionan de forma manual y remotamente qué unidad y archivos desean cifrar.

La infección fue descubierta por un investigador de malware de S!Ri. Desafortunadamente, por ahora no hay forma de descifrar los archivos cifrados por Kristina.

En primer lugar, un archivo .ZIP malicioso debe ser descargado a la computadora de la víctima, generalmente a través de un adjunto en el correo electrónico. El archivo ejecutable principal KristinaCS.exe está dentro del comprimido.

Una vez descargado, los delincuente podrían ejecutarlo de manera remota y comenzar el proceso de cifrado selectivo. Cuando finaliza el proceso de seleccioón, todos los archivos almacenados en un directorio particular se cifran y se agrega un indicador “[id] =hernansec@protonmail.ch.crypt12” al final de cada uno de ellos. A partir de este momento, no se podrá abrir ninguno de esos archivos. Al parecer este malware está relacionado con Crypt12.

Inmediatamente después, aparece un archivo en el escritorio: la nota de rescate. Esta nota brinda información detallada sobre su situación actual y lo que se debe hacer: pagar el rescate y comunicarse con la dirección hernansec @ protonmail.ch para recibir más instrucciones. En este momento se requiere el pago de alrededor de U$S500 para recibir una clave única que permite descifrar los archivos.

Soporte a estos casos a nuestros correos electronicos.