La aparición de nuevos virus de tipo Rasomware conocidos como Crytolocker, Cryptovirus o CTB-Locker, los cuales encriptan la información sensible del usuario como documentos de Word, Excel, PowerPoint, imágenes entre muchos otros y piden rescate para restablecer la información.

El medio de propagación de este virus es a través de correos electrónicos que habitualmente traen archivos adjuntos o enlaces a descargas de documentos pero que realmente enlazan con el virus.

Algunas recomendaciones que puede tener en cuenta para prevenir infecciones con este tipo de virus son: 

  • Mantener siempre instalado y actualizado la solución Antvirus en todos los equipos de la compañía.
  • Evitar abrir los archivos adjuntos de correo electrónico de remitentes desconocidos, no solicitados o en otro idioma.
  • Mantener siempre copia de seguridad de la información más importante de los usuarios que permitan una rápida restauración de la información que se pueda ver afectada.
  • Crear instantáneas de volumen en los servidores de archivos. Más información.
  • Mantener solo los permisos suficientes a los archivos que puede acceder el usuario, con esto en caso de infección de un recurso compartido no se verá afectada toda la información de los demás usuarios. Más información.
  • Si cuenta con un sistema de filtrado de contenido perimetral o de filtrado de correo puede establecer políticas para la prevención de descarga de archivos ejecutables, inclusive dentro de archivos comprimidos.

También es posible aplicar políticas en los equipos para la ejecución de aplicaciones desde determinados directorios, como por ejemplo, Temporales, AppData, etc. Con esto se evita la ejecución de programas desde directorios en los que no se deberían ejecutar aplicaciones que estén autorizadas por la compañía. Esto es posible aplicarlo mediante el Editor de Políticas de Grupo en cada equipo o una GPO del Directorio Activo. Puede encontrar información del proceso en thirdtier.net.

Si fue víctima de éste tipo de virus, la información encriptada es muy posible que no tenga reparación, esto debido al método de encriptación asimétrica usada por este virus. También es posible usar herramientas externas que intenten recuperar la información teniendo cuidado de no utilizar información sensible (Documentos con información delicada como cuentas bancarias) para probar la herramienta.

En dado caso siempre será mejor asegurar que el equipo no tenga el virus aún presente antes de restablecer información de respaldo. Puede realizar un análisis completo del equipo con su sistema antivirus.

Si tiene algún archivo o correo que considere sospechoso, puede enviarnos la muestra a [email protected]