Detectada una campaña de correos electrónicos con varios asuntos como «Envío de factura», «FACTURA: facv201700000014», los cuales adjuntan en unos casos un fichero comprimido que contiene una hoja de cálculo maliciosa, y en otros, directamente la hoja de cálculo maliciosa.

Recursos afectados

Potencialmente cualquier usuario que haga uso del correo electrónico y reciba un correo malicioso con las características descritas en este aviso de seguridad.

Solución

Si has recibido un correo similar a los descritos anteriormente pero no has ejecutado ningún archivo que contiene el documento adjunto, tu equipo no se habrá infectado.

No bajes la guardia y permanece atento. Si se cuela en tu bandeja de entrada algún email cuyo asunto es igual o parecido a los que hemos descrito, elimínalo directamente. En ningún caso descargues y/o ejecutes posibles ficheros adjuntos que puedan ser sospechosos.

Para una mayor seguridad, realiza copias de seguridad, en un soporte que no esté conectado al ordenador (excepto al hacer la copia), de toda la información que consideres importante, para que en caso de que tu equipo se vea afectado por algún incidente de seguridad, no la pierdas. Si necesitas ayuda para realizar esta tarea, no dejes de consultar los siguientes contenidos:

  1. ¡Qué no te pase a ti!
  2. ¿En la nube o en casa? Cómo elegir el almacenamiento más seguro
  3. ¿Tienes asegurada tu vida 2.0? Haz copias de seguridad
  4. ¿Y las fotos de las vacaciones? En el ordenador que no arranca…

¿Cómo desinfectar el ordenador si has caído en el engaño?

Si has descargado y ejecutado el archivo malicioso, es posible que tu ordenador esté infectado. Para eliminar la infección en principio se puede utilizar cualquier antivirus o antivirus auto-arrancable actualizado. Si dispones de una licencia de algún antivirus, también puedes contactar con su departamento de soporte técnico para que te indiquen la manera de proceder.

Si se diera el caso que tu equipo se hubiera visto infectado por un ransomware, el servicio AntiRansomware de INCIBE intentará solucionar tu problema. Sigue los pasos del siguiente artículo para ponerte en contacto: Nuevo Servicio Antiransomware, recupera el control de tu información

Detalles

Todos los mensajes detectados en esta ocasión, tienen o un fichero adjunto comprimido en formato .zip cuyos nombres son secuencias alfanuméricas, por ejemplo: 08.2017_FACTURA.zip, o directamente una hoja de cálculo con nombres como: FACV201700005155.xls.

Imagen de correo con factura maliciosa

Imagen de correo con factura maliciosa

El fichero .zip contiene un documento de hoja de cálculo de Microsoft Excel dentro:

Imagen de adjunto .zip cuyo contenido es una hoja de cálculo

Este tipo de ficheros maliciosos, contienen una macro (pequeño programa que puede realizar diferentes acciones de forma automática). En caso de activar su ejecución haciendo clic en «Habilitar contenido», se descargará un malware al equipo infectándolo.

Imagen de la hoja de cálculo pidiendo habilitar contenido de la macro

Hemos realizado un análisis con Virustotal para comprobar la infección del archivo adjunto. El resultado muestra que la macro habilita un virus tipo troyano.

Imagen del escaneo de Virustotal donde aparece el troyano incrustado en la hoja de cálculo