Myonlinesecurity.co.uk descubre una nueva campaña de malspam que instala el ransomware GandCrab en su versión 5.1. Para lograrlo, el atacante envía un Word adjunto malicioso con el nombre ‘Emergency exit map’. El e-mail está firmado por Rosie L. Ashton, supuestamente la administradora del edificio de la víctima. Y contiene el asunto ‘Up to date emergency exit map’.
Si el usuario abre el archivo, simplemente verá un documento con el texto ‘Emergency exit map’ y el mensaje ‘enable content’. Si habilita los macros de Word se ejecutará un script de PowerShell ofuscado que descarga y ejecuta el GandCrab en el equipo, desde un computador remoto.
Luego de cifrar los archivos, GandCrab crea notas de rescate en cada carpeta que contenga un archivo cifrado, entregando instrucciones sobre cómo realizar el pago.
Se recomienda lo siguiente:
- Nunca abrir un archivo adjunto en un correo, antes de asegurarse que viene de una fuente confiable.
- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
- Mantener una buena estrategia de respaldo de información.
- No tener equipos con servicio de escritorio remoto, conectados directamente a Internet.
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Actualizar los equipos con Windows y Office a las últimas versiones.
- Configurar de manera más estricta el anti spam.
- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 10 |
| Tipo | Indicador |
|---|---|
| hash | fead0e839dd509457f1513ec706... |
| hash | c69b49de3046c74b69da1cf8af7... |
| hash | f7eeda93bcde57d67b4a418077a... |