Word Malicioso


#1

Muy buenas a todos,

Abro el tema porque no he encontrado algo buscando en el foro. Resulta que un compañero de la oficina me llama para comentarme que abrió una factura(en formato word) que recibió via mail, en su correo de la empresa

Luego de abrir el archivo, que obviamente es malicioso comenzaron los problemas, no sé que tipo de archivo es este, supongo que tiene scripts y macros. Luego de abrirlo, tuvieron acceso a su correo gmail, corporativo, no podemos conectarnos al wifi (usamos un access point) y seguramente mas robo de datos.

Quisiera saber si pueden darme una recomendación de como actuar. Tambien subi el archivo a Virustotal para un escaneo del mismo y arrojo el siguiente resultado

En caso de que necesiten el archivo les dejo un enlace para que puedan descargarlo he leido que este tipo de virus o archivos maliciosos pueden mutar. [EDITADO]


#2


#3

Hola @theguardian

De momento vamos a analizar su PC para eliminar malewares:

:one: Malewarebytes Anti-Maleware

Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware , revisa en detalle el manual, para que sepas usarlo y configurarlo. Te doy las instrucciones de esta versión 3

• Haces clic en Analizar :arrow_forward: Selecciona Análisis de amenazas

• Haces clic en Iniciar análisis y esperas pacientemente a que lo termine

• Nota: Si activaste la versión de Prueba o tienes la versión PREMIUM. Malwarebytes debe enviar las amenazas automáticamente a cuarentena; si has desactivado la cuarentena automática o estas usando la versión FREE. Deberas Seleccionar todo lo que encuentre y presionar el boton Quarentena Seleccionada para enviar las amenazas a cuarentena manualmente.

• Reinicia el equipo para completar el procedimiento de desinfección

El reporte del último análisis que has realizado lo encontraras:

• Haces clic en Informes

• Marcas la casilla que corresponda al análisis que realizaste ( fíjate por la fecha y hora ) y debe decir Informe de análisis;

• Clic al botón Ver informe

• Clic al botón Exportar :arrow_forward: selecciona Archivo de texto (*.txt)

• Ponle el nombre que quieras y lo pegas en este Tema.

:two: Realiza un escaneo en línea ESET Online Scanner

Manual de ESET Online Scanner.

:three: AdwCleaner

Descarga AdwCleaner | InfoSpyware en el escritorio.

• Cierra también todos los programas que tengas abiertos.

• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.)

• Pulsar en el botón Escanear , y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar .

• Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas .

• Guardas el reporte que te aparecerá y lo anexas en un mensaje.

• El informe también se puede encontrar en C:\Archivos de programa o C: Archivos de programa(x86), si el sistema es de 64 bits –Adwcleaner- AdwCleaner[CX].txt

:four: ZHPCleaner

Ejecutar ZHPCleaner siguiendo su manual. Anexas el reporte en un nuevo mensaje del foro.

:five: CCleaner

Descarga, instala y/o actualiza Ccleaner

  • Abres Ccleaner en la pestaña limpiador dejas como está configurada predeterminadamente :arrow_forward: haces clic en analizar y esperas que termine :arrow_forward: clic en ejecutar limpiador
  • clic en la pestaña Registro :arrow_forward: clic en buscar problemas y esperas que termine :arrow_forward: clic en Reparar Seleccionadas y haces una copia de seguridad

:warning: :arrow_forward: Muy Importante: :arrow_forward: envuelve cada uno de los informes con una etiqueta CODE_Inicial escrita al inicio del informe y otra como este CODE_Final al final del mismo. El texto a incluir debe encontrarse en líneas diferentes a las etiquetas.

imagen


#4

Básicamente tendrás que aplicar el plan de actuación ante riesgos ciberneticos que el informático jefe de tu empresa tenga dispuesto para estas situaciones.

Si eres tu el informático jefe y no tienes establecido un plan de contingencia lo primero es siempre aislar el ordenador comprometido, y en caso de que se trate de un gusano asegurarte de que la infección no haya llegado al servidor o servidores de la empresa.

Una vez tengas eso controlado ya podrías empezar a localizar y desinfectar o cargar una copia de seguridad integra en los equipos o servidores afectados.