El malware Dorifel cifra documentos tanto en la PC de la víctima como en la red local. Empezó a extenderse en los Países Bajos, ya que el 90% de los usuarios infectados pertenecen a este gobierno, organizaciones del sector público y negocios. Otros países con un gran número de afectados son Dinamarca, Alemania, Filipinas, Estados Unidos y España, y continúa extendiéndose rápidamente.
Los expertos de Kaspersky Lab analizaron los archivos de uno de los servidores infectados por Dorifel, lo que reveló la existencia de otros malwares, incluyendo programas maliciosos diseñados para robar información financiera. Esta conclusión es producto del historial encontrado en el servidor, ya que incluía información financiera (números de tarjetas de crédito, códigos CCV y nombres).
Kaspersky Lab recomendó prestar especial atención a los archivos sospechosos y evitar abrir adjuntos en e-mails enviados desde organizaciones afectadas por el virus. También es importante asegurarse de que la computadora esté protegida con una solución de seguridad actualizada y que el sistema tiene los últimos parches de seguridad, no sólo de Windows sino también de cualquier otro proveedor de software como Java, ya que seguramente habrá ataques similares en el futuro.
Además, se recomienda que se bloquee el acceso desde las siguientes direcciones IP: 184.82.162.163 y 184.22.103.202. Si se observa tráfico de red desde estas direcciones, puede ser un claro indicativo de infección, ya que los descargadores de troyanos suelen bajarse malware adicional de estos hosts.
Otros datos importantes:
• El malware de Dorifel fue distribuido inicialmente en e-mails con adjuntos infectados. Una vez que la computadora es infectada, se extiende en archivos infectados mediante USBs y redes compartidas.
• Infecta y cifra documentos con las siguientes extensiones: DOC, DOCX, XLS, XLSX, EXE. Busca este tipo de archivos en redes compartidas y en cualquier disco que no contenga el directorio "System Volume Information" (como dispositivos USB, discos duros externos, etc.).
• El hecho de que muchos gobiernos y organizaciones comerciales no hayan podido acceder a importantes documentos en sus computadoras indica que el daño potencial de Dorifel puede ser enorme. Además, Kaspersky Lab encontró nuevos documentos maliciosos en el servidor que aloja el malware Dorifel, así como un gran número de exploits que podrían indicar que las computadoras infectadas con Dorifel tienen malware adicional instalado. Esto quiere decir que una infección puede poner en jaque la información financiera, cifrar archivos e instalar backdoors en el sistema.
Compartir nota:
