Mensaje de Correos, a mi también me llegó

Bueno como os contaba en la anterior entrada, se están recibiendo correos electrónicos que se hacen pasar por correos electrónicos enviados por Correos.es que llevan consigo un regalito en forma de Randsomware.

Pues bien, a mí también me ha llegado uno.

Mensaje notificándome que he recibido un envío.
Mensaje notificándome que he recibido un envío.

Y casí pico :-), por cierto el enlace a que apuntaba la descarga http://olivim.com/system/logs/UpQr1mg4dy.php?id=oXXXX@XXXXXX.net es de una tienda online a la cual le han inyectado en el directorio systems/logs el archivo que te envía a la página de phising.

Pero gracias a que ya había estado leyendo varios avisos en las Redes Sociales al respecto @Guardiacivil y en @Incibe y que ya me había tocado pegarme con él en un cliente, estaba un poco mosca.

¿Qué te puede alertarte de que esto no es un aviso común de correos? Pues en mi caso fue a la dirección a la que me lo enviaron y el lenguaje empleado.

Así que lo que hice fue probarlo (eso si en SO linux  live) y esto es lo que encontre.

Primero, un phising de la página de correos, bien hecho.

Phising de la página de correos.es
Phising de la página de correos.es

Pero fíjate bien en la URL. Además el enlace al que te llevaba no pertenece al dominio de correos.es

Segundo, el enlace apuntaba a un archivo comprimido (zip)

Fichero comprimido con un ejecutable incluido
Fichero comprimido

Claro está que esto en un linux no iba a funcionar, pero si lo recibes en un ordenador con Windows teniendo las extensiones de los archivos conocidos ocultas, este detalle se te pasa desapercibido.

Eso si, tienes que pinchar en los enlaces y en los archivos zip y exe para que al final se ejecute y empiece a funcionar el programa que cifra tu disco duro (yo no hago eso, me suelen decir, pero cuando vas con prisa ….)

Así que mi consejo y el que podrás leer en un motón de sitios que te hablen de navegación segura en Internet es que fíjate bien donde pisas  pinchas y comprueba antes los enlaces.

Fijate donde pinchas, antes de acceder a un enlace
Fijate donde pinchas

Que el aviso era de Correos.es

Y si todavía no te has apuntado a las jornadas de X1redMasSegura,hazlo que seguro que aprendes cosas muy interesantes para realizar una navegación segura por Internet.

Cuidado con los enlaces que pinchas

En esta pasada semana varios ordenadores de mi entorno han sido secuestrados cifrando el contenido de los discos duros, al recibir un correo falso que se hacía para por un envío de correos.es, y claro lo normal es pinchar para ver el localizador.

Así que dado que este mes está siendo bastante activo con este tipo de acciones maliciosas mas vale que compruebes bien los enlaces en los que pinchas.

De todas formas te recomiendo que leas y apliques estos consejos que desde la página de protegerse.com nos ofrecen para evitar que nuestro ordenador o móvil sea secuestrado.

¿QUÉ HACER PARA EVITAR UNA INFECCIÓN POR RANSOMWARE?

La mejor arma de la que disponen los usuarios y empresas frente al ransomware es la prevención, puesto que una vez cifrados los archivos es muy difícil volver a recuperarlos. Por ello, desde ESET España proponemos esta serie de consejos:

  • Mantener actualizados los sistemas operativos, navegadores y aplicaciones para evitar que el ransomware pueda aprovechar agujeros de seguridad y se distribuya de forma masiva.
  • Evitar abrir correos sospechosos no solicitados. Tanto si proceden de usuarios conocidos como desconocidos es recomendable asegurarse de que la persona que ha enviado el correo realmente quería remitir ese fichero adjunto o enlace.
  • Tener cuidado con absolutamente todos los archivos adjuntos a un email o descargados desde un enlace, especialmente aquellos que vienen comprimidos en formato zip. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un malware, por lo que es mejor ser precavido.
  • La mayoría de los clientes de correo electrónico ofrecen la posibilidad de hacer visibles todas las extensiones de los archivos adjuntos recibidos. Desde ESET aconsejamos habilitar esta función para saber exactamente qué tipo de archivo se nos ha enviado.
  • Disponer como mínimo de dos copias de seguridad actualizadas y cada una de ellas alojada en una ubicación diferente a la otra.
  • Activar el sistema de restauración de ficheros Shadow Copy de Windows para restaurar los archivos afectados por el ransomware a una versión anterior (en el caso de que estos últimos no se hayan visto afectados).
  • Utilizar herramientas especializadas (como Anti Ransom o CryptoPrevent) para recibir alertas en caso de que un ransomware empiece a cifrar archivos, e incluso para evitar el cifrado de cierto tipo de ficheros en ubicaciones determinadas.

 

PDF Password Cracking With John The Ripper

I have a video showing how to use oclHashcat to crack PDF passwords, but I was also asked how to do this with John The Ripper on Windows.

It’s not difficult.

Download the latest jumbo edition john-the-ripper-v1.8.0-jumbo-1-win-32.7z from the custom builds page.

Decompress this version.

Download the previous jumbo edition John the Ripper 1.7.9-jumbo-5 (Windows binaries, ZIP, 3845 KB).

Extract file cyggcc_s-1.dll from the previous jumbo edition, and copy it to folder John-the-Ripper-v1.8.0-jumbo-1-Win-32\run.

Generate the hash for the password protected PDF file (I’m using my ex020.pdf exercise file) and store it in a file (pdf2john.py is a Python program, so you need to have Python installed):

John-the-Ripper-v1.8.0-jumbo-1-Win-32\run\pdf2john.py ex020.pdf > ex020.hash

Start John The Ripper:

John-the-Ripper-v1.8.0-jumbo-1-Win-32\run\john.exe ex020.hash

Loaded 1 password hash (PDF [MD5 SHA2 RC4/AES 32/32]) Will run 8 OpenMP threads Press 'q' or Ctrl-C to abort, almost any other key for status secret (ex020.pdf) 1g 0:00:00:00 DONE 2/3 (2015-03-29 22:39) 10.20g/s 125071p/s 125071c/s 125071C/s 123456..crawford Use the "--show" option to display all of the cracked passwords reliably Session completed 

By starting John The Ripper without any options, it will first run in single crack mode and then in wordlist mode until it finds the password (secret).

But you can also provide your own wordlists (with option –wordlist) and use rules (option –rules) or work in incremental mode (–incremental).

—-

Shared via my feedly reader

Un saludo,Oscar.