Locky Ransomware es mortal! Aquí está todo lo que usted debe saber sobre este virus.

Locky es el nombre de un Ransomware que ha estado evolucionando tarde, gracias a la constante actualización de algoritmos de sus autores. Locky, como sugiere su nombre, renombra todos los archivos importantes en el PC infectado dándoles una extensión .locky y exige un rescate por las claves de descifrado.

Locky ransomware – Evolución

Ransomware ha crecido a un ritmo alarmante en 2016. Utiliza el correo electrónico y la ingeniería social para entrar en sus sistemas informáticos. La mayoría de los correos electrónicos con documentos maliciosos adjuntos incluyen la popular versión de ransomware Locky. Entre los miles de millones de mensajes que utilizaron archivos adjuntos de documentos maliciosos, alrededor del 97% contenía el software de rescate de Locky, lo que representa un alarmante aumento del 64% con respecto al primer trimestre de 2016, cuando se descubrió por primera vez.

El Locky ransomware se detectó por primera vez en febrero de 2016 y, según se informa, se envió a medio millón de usuarios. Locky entró en escena cuando en febrero de este año el Hollywood Presbyterian Medical Center pagó un rescate de Bitcoin de 17.000 dólares por la clave de desencriptación de los datos de los pacientes. Locky infectó los datos del Hospital a través de un archivo adjunto de correo electrónico disfrazado de factura de Microsoft Word.

Desde febrero, Locky ha estado encadenando sus extensiones en un intento de engañar a las víctimas para que sepan que han sido infectadas por otro Ransomware. Locky comenzó a renombrar originalmente los archivos cifrados a .locky y para cuando llegó el verano evolucionó a la extensión .zepto , que ha sido utilizada en múltiples campañas desde entonces.

La última vez que se escuchó, Locky está encriptando archivos con la extensión .ODIN , tratando de confundir a los usuarios de que en realidad es el Odin ransomware.

Locky Ransomware

Locky ransomware se propaga principalmente a través de campañas de correo electrónico de spam ejecutadas por los atacantes. Estos correos electrónicos de spam tienen principalmente archivos.doc como archivos adjuntos que contienen texto revuelto que parece ser macros.

Un correo electrónico típico utilizado en la distribución de Locky ransomware puede ser de una factura que atrae la atención de la mayoría de los usuarios, Por ejemplo,

El asunto del correo electrónico podría ser – «ATTN: Factura P-12345678» , archivo adjunto infectado – » invoice_P-12345678.doc » (contiene macros que descargan e instalan el software Locky ransomware en los ordenadores):»

Y el cuerpo del correo electrónico – «Querido alguien, por favor, vea la factura adjunta (Documento de Microsoft Word) y remita el pago de acuerdo con los términos enumerados en la parte inferior de la factura. Háganos saber si tiene alguna pregunta. Apreciamos mucho su negocio!»

Locky Ransomware es mortal! Aquí está todo lo que usted debe saber sobre este virus. 1

Una vez que el usuario habilita la configuración de las macros en el programa Word, se descarga en el PC un archivo ejecutable que en realidad es el software de rescate. A continuación, varios archivos en el PC de la víctima son encriptados por el ransomware, lo que les proporciona una combinación única de 16 letras y dígitos con extensiones de archivo .shit , .thor , , , , , , , , , , , , , , , , , , , tag__12). Todos los archivos se cifran utilizando los algoritmos RSA-2048 y AES-1024 y requieren una clave privada almacenada en los servidores remotos controlados por los ciberdelincuentes para su descifrado.

Una vez que los archivos están encriptados, Locky genera un archivo adicional .txt y _HELP_instructions.html en cada carpeta que contiene los archivos encriptados. Este archivo de texto contiene un mensaje (como se muestra a continuación) que informa a los usuarios del cifrado.

Locky Ransomware es mortal! Aquí está todo lo que usted debe saber sobre este virus. 2

Además, establece que los archivos sólo pueden descifrarse utilizando un descifrador desarrollado por ciberdelincuentes y con un coste de 0,5 BitCoin. Por lo tanto, para recuperar los archivos, se le pide a la víctima que instale el navegador Tor y siga el enlace proporcionado en los archivos de texto/fondo de pantalla. El sitio web contiene instrucciones para realizar el pago.

Locky Ransomware es mortal! Aquí está todo lo que usted debe saber sobre este virus. 3

No hay garantía de que, incluso después de realizar el pago, se descifren los archivos de las víctimas. Pero por lo general, para proteger su «reputación», los autores de los programas de rescate se aferran a su parte del trato.

Locky Ransomware cambia de extensión.wsf a.LNK

Publicar su evolución este año en febrero; las infecciones de Locky ransomware han disminuido gradualmente con detecciones menores de Nemucod , que Locky utiliza para infectar ordenadores. (Nemucod es un archivo.wsf contenido en archivos adjuntos.zip en un correo electrónico spam). Sin embargo, como informa Microsoft, los autores de Locky han cambiado el archivo adjunto de archivos.wsf a archivos de acceso directo (extensión.LNK) que contienen comandos de PowerShell para descargar y ejecutar Locky.

Un ejemplo del correo electrónico de spam a continuación muestra que está hecho para atraer la atención inmediata de los usuarios. Se envía con gran importancia y con caracteres aleatorios en la línea de asunto. El cuerpo del correo electrónico está vacío.

Locky Ransomware es mortal! Aquí está todo lo que usted debe saber sobre este virus. 4

El correo electrónico de spam normalmente se denomina como Bill llega con un archivo adjunto.zip, que contiene los archivos.LNK. Al abrir el archivo adjunto.zip, los usuarios activan la cadena de infección. Esta amenaza se detecta como TrojanDownloader:PowerShell/Ploprolo.A . Cuando el script PowerShell se ejecuta correctamente, descarga y ejecuta Locky en una carpeta temporal que completa la cadena de infección.

Tipos de archivos a los que se dirige Locky Ransomware

A continuación se muestran los tipos de archivos a los que se dirige Locky ransomware.

.yuv, .ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sqlite,.sdf,.sda,.s3db, .rwl,.rdb,.rat,.raf,.qby,.qbx,.qbx,.qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd,.oth, .orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .copia de seguridad, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat, .qbm, .qbmqbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd, .design,.ddd,.dcr,.dac,.cdx,.cdx,.cdf, .blend, .bkp, .adp, .act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv, .fla, .swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk, .apkgpg, .aes, .ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.jpg,.tif,.tiff,.NEF,.psd, .cmd, .bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.mdb,.sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (copia de seguridad), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT, .stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.crt,.ke.

Cómo evitar el ataque de Locky Ransomware

Locky es un virus peligroso que representa una grave amenaza para su PC. Se recomienda que siga estas instrucciones para prevenir el software de rescate y evitar infectarse.

  1. Tenga siempre un software anti-malware y un software anti-ransomware que proteja su PC y actualícelo regularmente.
  2. Actualice su sistema operativo Windows y el resto de su software para mitigar posibles ataques de software.
  3. Haga copias de seguridad de sus archivos importantes con regularidad. Es una buena opción tenerlos guardados fuera de línea que en un almacenamiento en nube, ya que los virus también pueden llegar allí
  4. .

  5. Desactivar la carga de macros en programas de Office. Abrir un archivo archivo de documento de Word infectado podría resultar arriesgado!
  6. No abra ciegamente el correo en las secciones de correo electrónico «Spam» o «Junk». Esto podría engañarlo para que abra un correo electrónico que contenga el malware. Piense antes de hacer clic en los enlaces web de sitios web o correos electrónicos o de descargar archivos adjuntos de correo electrónico de remitentes que no conoce. No haga clic ni abra dichos archivos adjuntos:
    1. Archivos con.LNKextension
    2. Archivos con extensión.wsfsf
    3. Los archivos retiran la extensión de punto doble (por ejemplo, perfil-p29d..wsf).

Read : ¿Qué hacer después de un ataque de Ransomware en su ordenador con Windows?

Cómo descifrar Locky Ransomware

Hasta ahora, no hay descifradores disponibles para Locky ransomware. Sin embargo, aDecryptor de Emsisoft puede usarse para descifrar archivos cifrados por AutoLocky , otro software de rescate que también renombra archivos a la extensión.locky. AutoLocky utiliza el lenguaje de scripting AutoI e intenta imitar el complejo y sofisticado software de rescate de Locky. Puede ver la lista completa de las herramientas de descifrado de ransomware disponibles aquí.

Fuentes y créditos Microsoft |BleepingComputer |PCRisk.

Mensajes relacionados:

  • Ataques de Ransomware, Definición, Ejemplos, Protección, Eliminación, FAQ
  • Lista de herramientas de descifrado de Ransomware gratuitas para descifrar archivos
  • Cómo protegerse y prevenir los ataques e infecciones de Ransomware
  • Ransomware en la India: 5º país más atacado; ¡es hora de despertar a sus peligros!
  • ¿Qué hacer después de un ataque de Ransomware en su ordenador con Windows?

Contenido Relacionado

Deja un comentario