esenfrdeitptru

Guías y mejores prácticas

Herramienta para comprobar Malware Emotet

Nueva herramienta denominada EmoCheck que comprueba si el computador está infectado con el Malware Emotet

Un nuevo utilitario ha sido creado por el CERT de Japón, que permite a los usuarios de Windows comprobar fácilmente si están infectados con el troyano Emotet.

El troyano Emotet es uno de los malware más activos que se distribuyen mediante correos phishing con un documento Word adjunto el cual es malicioso. Estos correos pretenden ser noticias o información acerca del Coronavirus, o facturas, a la espera de que los usuarios hagan click en el enlace malicioso, o abran el archivo adjunto.

Una vez instalado el Emotet utilizará el equipo infectado para enviar spam a las víctimas potenciales y descargar otro malware en su víctima. Emotet es peligroso pues descarga e instala comúnmente el troyano bancario “Trickbot”, el cual roba credenciales guardadas, cookies, el historial del navegador, claves SSH mientras intenta propagarse a otros equipos en la red.

Si la red en la que se instala el troyano bancario es de alta utilidad, también abrirá un Shell reverso a los operadores del Ransomware denominado Ryuk, quienes cifrarán la red.

Debido a esta gravedad, es importante que las víctimas encuentren el Malware Emotet, rápidamente y lo eliminen del equipo infectado.

Usando EmoCheck para comprabar si el malware está instalado

Cuando Emotet es instado por un archivo malicioso adjunto, se almacenará en una carpeta semi-aleatoria bajo la carpeta %LocalAppData%.

Es semi-aleatorio porque el nombre de la carpeta es creado a partir de dos palabras claves de la siguiente lista: duck, mfidl, targets, ptr, khmer, purge, metrics, acc, inet, msra, symbol, driver, sidebar, restore, msg, volume, cards, shext, query, roam, etw, mexico, basic, url, createa, blb, pal, cors, send, devices, radio, bid, format, thrd, taskmgr, timeout, vmd, ctl, bta, shlp, avi, exce, dbt, pfx, rtp, edge, mult, clr, wmistr, ellipse, vol, cyan, ses, guid, wce, wmp, dvb, elem, channel, space, digital, pdeft, violet, thunk. Por ejemplo se instalará en el C:\local\simbolguid\simbolguid.exe.

Si sospecha que su equipo está infectado con el Emotet, puede descargar el utilitario creado por el CERT de Japón desde la siguiente dirección: https://github.com/JPCERTCC/EmoCheck/releases

El EmoCheck ha sido ejecutado en un equipo del CSIRT-EPN sin ninguna dificultad.

Cuando se ejecute el EmoCheck buscará el troyano Emotet y le avisará si se encuentra instalado y en que directorio se encuentra ubicado el archivo malicioso y el ID del proceso que lo está ejecutando. Esta información será almacenada en un archivo de registro con extensión txt con el siguiente nombre: ruta de acceso de emocheck.exe]-yyyymmddhhmmss_emocheck.txt.

Si se ejecuta EmoCheck y descubre el archivo infectado, inmediatamente debe abrir el administrador de tareas y finalizar el proceso que está identificado en el archivo con extensión txt. Posteriormente debe ejecutar el antivirus institucional para asegurar que otro Malware no se ha descargado e instalado en el equipo.

Esta herramienta podría ser útil para los administradores de red que podrán utilizarla como parte de un script de inicio de sesión para encontrar rápidamente las máquinas que han sido infectadas con Emotet, evitando así un ataque de Ransomware.

Referencia

https://www.bleepingcomputer.com/news/security/new-emocheck-tool-checks-if-youre-infected-with-emotet/

¡ Alerta de Seguridad !

 atencion

Usted ha llegado a esta página, como parte de la campaña de concientización sobre la seguridad de la información que realiza el CSIRT-EPN cada año a los miembros de la Comunidad Politécnica, para medir cuan preparada está la comunidad ante incidentes de seguridad, por lo que:

Usted pudo ser víctima de un ataque informático por parte de una tercera persona al haber accedido al enlace del correo electrónico falso. Los atacantes pueden robar su información personal y financiera, tomar control de su equipo, secuestrar sus archivos, y utilizarlo de puente para cometer otros delitos informáticos.

Recuerde que usted puede protegerse de este tipo de ataques adoptando las siguientes buenas prácticas:

  • Verificar el remitente del mensaje.
  • Nunca descargue archivos de fuentes sospechosas o desconocidas.
  • Evite dar clic sobre enlaces sospechosos.
  • Utilice el antivirus institucional.
  • Respalde su información de forma regular.
  • Nunca entregue sus credenciales de acceso a terceras personas.
  • Cree contraseñas fuertes.
  • Utilice sistemas de doble factor de autenticación.
  • Recuerde seguir las directrices de seguridad aprobadas para la Escuela Politécnica Nacional. https://www.csirt-epn.edu.ec/normativa
  • Reporte siempre los incidentes de seguridad al CSIRT-EPN a través de sus canales:

Correo: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Formulario Web: https://www.csirt-epn.edu.ec/reporte

Teléfonos: 2976300 ext: 1452, 1453,1439

Para obtener mayor detalle sobre como proteger su información visitanos en:

https://www.csirt-epn.edu.ec/

Twitter: @CsirtEPN

Recomendaciones para evitar el Phishing

 

Recomendaciones para evitar el Phishing, robo de información personal:

  • No abrir correos sospechosos, si usted detecta que es un correo spam reportarlo inmediatamente a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..
  • Use exclusivamente el correo institucional, si usa correos alternativos no abra archivos ejecutables.
  • No abra enlaces para actualizar datos personales. La Dirección de Gestión de la Información bajo ningún concepto solicita la actualización de datos a través del correo.
  • Visite páginas seguras (https), y verifique el certificado digital con un click en el candado de la barra de estado.
  • Bajo ningún concepto envíe claves o información de inicio de sesión por un correo electrónico.
  • Sujetarse a los instructivos internos de seguridad en especial el del uso del antivirus institucional.
  • Mantenga siempre activo el antivirus Institucional. Si no cuenta con el antivirus, puede solicitar la instalación a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.(aplica unicamente a dispositivos institucionales)
  • Active el firewall de su equipo.

 

¡PILAS CON LA SEGURIDAD!

Logo csirt SEGURIDAD

 

La Dirección de Gestión de la Información y Procesos (DGIP) por medio del Centro de Respuesta a Incidentes Informáticos (CSIRT-EPN)  presenta las siguientes recomendaciones:

  • Siempre analice sus dispositivos electrónicos con un antivirus.
  • Nunca descargue archivos desde fuentes sospechosas o desconocidas, observe detenidamente la dirección del portal que visita tratando de identificar nombres sospechosos.
  • Todas las computadoras institucionales deben tener instalado el antivirus de la Institución, en el caso de no ser así, solicítelo a la DGIP.
  • Bloquee su computador en el caso de ausencia de su puesto de trabajo.
  • Evite dejar documentos importantes sobre el escritorio, impresoras o copiadoras, guárdelos en un lugar seguro.
  • Respalde la información importante de trabajo en forma regular.
  • Cree contraseñas fuertes que sean una combinación de al menos 10 caracteres entre letras mayúsculas y minúsculas, números y caracteres especiales.
  • No utilice como contraseña su nombre, cédula ni ninguna palabra del diccionario. Cambie sus contraseñas de acceso al menos cada cuatro meses.
  • La DGIP en ningún caso solicita contraseñas de acceso, envía mensajes de actualización de datos, o solicita información personal.
  • No entregue información sensible como contraseñas, coordenadas o pines de seguridad, ni las almacene en un lugar visible.
  • Comuníquese con nosotros a las extensiones: 1452, 1453, 1439. Si Ud. tiene un incidente de seguridad informática envíelo a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..
 
   

Cómo Citarnos

Castellano: CSIRTEPN - Grupo  Respuesta a Incidentes de Seguridad de la Escuela Politécnica Nacional

Otro idioma: CSIRTEPN – National Polytechnic School Computer Emergency Response Team

Concepto de incidente

“Evento inesperado que compromete la operación de un sistema y su información, amenazando la confidencialidad, integridad o disponibilidad”

Ver Lista de incidentes

Contáctenos

Para contactarse con nosotros y resolver tus dudas o inquietudes, escríbenos a:

Correo:team@csirt-epn.edu.ec

Dirección: Madrid y Toledo Edificio de Aulas y Relación con el Medio Externo (EARME)
Planta Baja (Centro de Datos)

Teléfono: (+593) 22976300 Ext. 1436, 1452, 1453

Horario de Atención: De lunes a Viernes de 8H00 - 18H00

 

Reportar Incidente

Puedes reportar tu incidente de los siguiente forma:

Escribenos al correo: gestion.incidentes@csirt-epn.edu.ec

Comunícate con nostros al: (593) 2 2976 300 ext 1452 1453

Repórtalo desde nuestro formulario aquí

No olvides incluir:

  • Nombres completos.
  • Correo electrónico
  • Teléfono – extensión
  • Dependencia-oficina
  • Comentario del incidente