Tecnología

Locky, un nuevo ransomware que va en serio (Alerta de Virus)




Locky es una amenaza que encripta archivos (dejándolos ilegibles) y que pide un rescate a sus víctimas para poder recuperarlos. Hasta el momento, ha atacado a unas 500.000 personas. Avira Antivirus Pro le ofrece protección completa frente a Locky, evitando que se cuele en su equipo.


Esta semana, las soluciones de ESET comenzaron a detectar a Win32/Filecoder.Locky, un nuevo ransomware que se propaga a través de adjuntos con macros maliciosas. El Laboratorio de Investigación de ESET Latinoamérica ya detectó algunos casos en la región, que dado el corto tiempo de vida de esta amenaza, hablan de su impacto.


Los países en los que se reportó la presencia de Locky son México, Perú, Colombia, Chile, Argentina y Guatemala. Además, según Kevin Beaumont, investigador que lo analizó inicialmente, el correo electrónico que lo propaga está traducido a varios idiomas, ampliando su alcance y demostrando el trabajo de preparación que tiene detrás. Así, identificó su presencia en Los Países Bajos, Alemania, Arabia Saudita, Croacia, Pakistán, Polonia, Rusia y los Estados Unidos.

Y ¿por qué digo que es un nuevo ransomware “ya presente” en Latinoamérica? Porque anteriormente, primero aparecían amenazas en inglés que luego se traducían y localizaban en distintos países, como fue el caso de TorrentLocker cuando apareció en español. Pero Locky se propaga en diversos idiomas desde el principio, y ahí está la diferencia.
Cómo funciona Locky

Todo comienza cuando un usuario recibe un correo electrónico que contiene un archivo adjunto de Microsoft Word (.DOC). Este correo contiene un troyano, detectado por ESET como VBA/TrojanDownloader.Agent.ASL y otras variantes de la misma firma.
Una vez abierto, sugiere al usuario habilitar las macros para poder visualizar el archivo, que dice ser una factura y un pago de remisión. Si acepta, el troyano descarga el payload, es decir, el ransomware Locky. Como parte final de la infección, este cifra todo el contenido y se borra a sí mismo del sistema, dejando las intrucciones o pasos a seguir para recuperar los archivos infectados:

Imagen de Kevin Beaumont

Las extensiones que puede cifrar son más de 100, es decir, prácticamente todo lo que un equipo pueda tener almacenado: imágenes .JPG, .PNG o .GIF, bases de datos como .DB, .ODB, .MDB, .SQLITEDB o .DBF , videos como .MP4, .MOV o .FLV, proyectos de programación como .JS, .VBS o .JAVA, comprimidos como .ZIP y muchos más. Todos son cifrados con la extensión “.locky”.

Además, cambia el fondo de pantalla por el aviso de rescate y crea un archivo de imagen .BMP y uno de texto .TXT y los abre para mostrar las instrucciones de pago. Tambien puede cifrar archivos de la red, considerando que haya más de un equipo conectado a la misma.
Últimamente, son muchas las campañas de malware que usan macros maliciosas para propagarse, aunque no es tan común ver que la amenaza que se descargue luego sea ransomware, como en este caso.

Prevención y, en caso de infección, restaurar con backup

Como la gran mayoría de los casos de ransomware, Locky juega con la desesperación de los usuarios que creen que sus archivos están perdidos y deben pagar el rescate para recuperarlos. Claro que recomendamos no pagar, ya que no hay ninguna garantía de que los cibercriminales devuelvan el acceso y además así se alentaría su conducta extorsiva.

En verdad, lo importante es prevenir para que no se llegue a este punto, aplicando los consejos habituales para protegerse del ransomware. En este video se detalla más información al respecto:



Y en caso de que se produzca una infección, lo mejor es recurrir a las copias de backup que se hayan realizado, por lo cual es importante mantener una periodicidad.

¿Cómo se propaga Locky?

Los piratas informáticos envían un correo electrónico con una línea de asunto similar a: “ATTN: Invoice J-98223146”. Este correo tiene un documento de word adjunto. ¿Cómo consiguen su correo los piratas informáticos? Los recopilan a partir de infracciones de seguridad de terceros (por ejemplo, si se da de alta para recibir un servicio y piratean el servidor de la compañía que lo ofrece) o los compran (esa misma compañía puede vender su dirección de correo electrónico).

¿Cómo se instala Locky?

El usuario desprevenido abre el documento, cuyo contenido resulta ser incoherente. El documento recomienda habilitar las macros "si la codificación de datos es incorrecta". Que lo es, por supuesto.

¿Qué aspecto tiene Locky?

Habilitar las macros permite que Locky se descargue en los equipos de forma oculta. El ransomware comienza entonces a cifrar todos los archivos que encuentra (imágenes, vídeos, archivos de Office, etc.). Incluso puede cifrar datos en las unidades extraíbles que estén conectadas en ese momento...


¿Qué pide Locky?

Una vez que todos los archivos están cifrados, Locky solicita un pago a cambio de descifrarlos. Normalmente el pago se pide en bitcoins y es por una cantidad de 0,5 a 1,0 BTC (un bitcoin equivale a 400 $, 280 £ o 367 €).



CONSEJO FINAL: 

1. Instala un buen Antivirus actualizado que tenga herramientas para evitar este tipo de ataques. 
     Avira - https://www.avira.com/es/index
     Eset NOD32 - http://www.eset-la.com/download/trial-gratuito/nod32-antivirus

2. Instala un Programa ANTI-Malwares
    Hitman Pro.Alert  -  http://www.surfright.nl/en/alert
    Bitdefender - 

Nota en desarrollo... 

(Deja tus comentarios sobre esta nota abajo)
 



Locky, un nuevo ransomware que va en serio (Alerta de Virus)
2016-09-29 08:00:15 | Leído 392 veces

Top noticias más leidas:


+ Contenido en esta sección:

Volvo dirá adiós a los motores diésel para centrarse en eléctricos Volvo dirá adiós a los motores diésel para centrarse en eléctricos
5 trucos para sacarle el máximo provecho a Netflix que quizás no conocías 5 trucos para sacarle el máximo provecho a Netflix que quizás no conocías

WhatsApp ahora permite enviar cualquier tipo de archivo

Los usuarios de WhatsApp podrán enviar desde hoy cualquier clase de archivo a través de la plataforma de mensajería. La compañía estadounidense ha comenzado un proceso de actualización progresivo que activa esta nueva característica en todos los ...



Así es como puedes activar el modo oscuro de WhatsApp

WhatsApp es la aplicación de mensajería más utilizada a nivel mundial, pese a que sus funciones no son del todo agradables a diferencia de plataformas como Telegram o LINE. Sin embargo, una de las posibilidades que brinda WhatsApp es su versión ...



Android O no se llamaría Android Oreo

Uno de los mayores fiascos del Google I/O 2017 fue cuando no se anunció nada concreto sobre Android O, a pesar de que todos esperaban que por fin se confirmara el nombre oficial de esta versión del sistema operativo. Hasta el momento prácticamente ...



Google al fin deja de leer tus emails para insertar publicidad en Gmail

Google decide deshabilitar una de las decisiones más controversiales de la historia de la compañía: leer los contenidos de los emails de Gmail e insertar publicidad contextual. Google al fin deja de leer tus emails para insertar publicidad en Gmail. El ...



Condena millonaria a Sci

Un juzgado de EEUU ha condenado a Sci-Hub, conocido como el 'Pirate Bay' de la ciencia', a pagar 15 millones de dólares al gigante editorial Elsevier. Condena millonaria a Sci-Hub, el 'Pirate Bay' de la ciencia. Uno de los gigantes de la industria ...y más »



Ya están disponibles las Raid Battles de Pokémon GO

Pokémon GO está cerca de cumplir un año, así que Niantic Labs está implementando nuevas características para mantener fresca la experiencia. Esta vez, los maestros Pokémon podrán reunirse para vencer poderosas criaturas en equipo gracias a las ...



Motorola apuesta por smartphones económicos

La empresa lanzó en México las nuevas familias Moto C y Moto E con teléfonos entre 2 mil 500 y 4 mil 300 pesos. COMPARTIR. facebook · twitter · google plus · Correo · Linked in · whatsApp. Foto: Archivo. Motorola lanzó cuatro nuevos teléfonos para ...



Bungie anuncia fechas de últimos eventos competitivos de Destiny

Cada vez falta menos para el debut de Destiny 2, por lo que Bungie alista todo para la despedida de la primera entrega de la franquicia. En marzo, la compañía lanzó Age of Triumph, evento que arribó con el último parche para el juego. A pesar de la ...



Rockstar se posiciona sobre los mods de GTA V en PC

Esta semana hemos vivido varios episodios sobre la polémica que ha generado la decisión de Take-Two de no permitir el mod Open IV para GTA V en PC, que pretendía llevar la ciudad de Liberty City de GTA IV a la quina entrega de la saga. Take-Two ...y más »



Detroit: Become Human muestra un nuevo adelanto

Otro de los títulos anunciados el año pasado en exclusiva para PlayStation 4 volvió a formar parte del E3 Experience de Sony este año. Detroit: Become Human, del estudio desarrollador Quantic Dream, presentó un nuevo trailer con cinemáticas y algo de ...