Locky Ransomware es mortal! Aquí está todo lo que debes saber sobre este virus.
Locky es el nombre de un Ransomware que ha estado evolucionando tarde, gracias a la constante actualización de algoritmos de sus autores. Locky, como lo sugiere su nombre, cambia el nombre de todos los archivos importantes en la PC infectada dándoles una extensión .con llave y exige el rescate de las claves de descifrado..
Locky ransomware - Evolución
El ransomware ha crecido a un ritmo alarmante en 2016. Utiliza el correo electrónico y la ingeniería social para ingresar a sus sistemas informáticos. La mayoría de los correos electrónicos con documentos maliciosos adjuntos presentaban la popular variedad de ransomware Locky. Entre los miles de millones de mensajes que utilizaron archivos adjuntos maliciosos, alrededor del 97% incluyó el ransomware Locky, que es un aumento alarmante del 64% desde el primer trimestre de 2016 cuando se descubrió por primera vez.
los Locky ransomware fue detectado por primera vez en febrero de 2016 y, según informes, se envió a medio millón de usuarios. Locky entró en el centro de atención cuando, en febrero de este año, el Hollywood Presbyterian Medical Center pagó un rescate de $ 17,000 a Bitcoin por la clave de descifrado de los datos de los pacientes. Locky infectó los datos del Hospital a través de un archivo adjunto de correo electrónico disfrazado de una factura de Microsoft Word.
Desde febrero, Locky ha estado encadenando sus extensiones en un intento por engañar a las víctimas que han sido infectadas por un Ransomware diferente. Locky comenzó originalmente renombrando los archivos cifrados a .con llave y cuando llegó el verano, evolucionó hacia la .zepto extensión, que se ha utilizado en múltiples campañas desde.
Escuchado por última vez, Locky ahora está cifrando archivos con .ODIN extensión, tratando de confundir a los usuarios de que en realidad es el ransomware Odin.
Locky Ransomware
Locky ransomware se propaga principalmente a través de correos electrónicos no deseados campañas realizadas por los atacantes. Estos correos spam tienen en su mayoría .doc archivos como archivos adjuntos que contienen texto revuelto que parece ser macros.
Un correo electrónico típico utilizado en la distribución de Locky ransomware puede ser de una factura que llame la atención de la mayoría de los usuarios, por ejemplo,
Asunto del correo electrónico podría ser - “ATTN: Factura P-12345678”, adjunto infectado - "invoice_P-12345678.doc"(Contiene macros que descargan e instalan ransomware Locky en las computadoras):"
Y cuerpo del correo electrónico: “Estimado alguien, consulte la factura adjunta (Documento de Microsoft Word) y envíe el pago de acuerdo con los términos que figuran en la parte inferior de la factura. Háganos saber si tiene alguna pregunta. ¡Apreciamos mucho su negocio!
Una vez que el usuario habilita la configuración de macros en el programa Word, se descarga en la PC un archivo ejecutable que en realidad es el ransomware. A partir de entonces, el ransomware codifica varios archivos en la PC de la víctima y les da nombres únicos de combinación de 16 letras y dígitos con .Mierda, .tor, .con llave, .zepto o .odin extensiones de archivo. Todos los archivos están encriptados usando la RSA-2048 y AES-1024 algoritmos y requieren una clave privada almacenada en los servidores remotos controlados por los delincuentes cibernéticos para el descifrado.
Una vez cifrados los archivos, Locky genera un archivo adicional. .TXT y _HELP_instrucciones.html archivo en cada carpeta que contiene los archivos cifrados. Este archivo de texto contiene un mensaje (como se muestra a continuación) que informa a los usuarios del cifrado..
Además, establece que los archivos solo se pueden descifrar utilizando un descifrador desarrollado por ciberdelincuentes y que cuestan .5 BitCoin. Por lo tanto, para recuperar los archivos, se le pide a la víctima que instale el navegador Tor y siga un enlace que se encuentra en los archivos de texto / fondo de pantalla. El sitio web contiene instrucciones para realizar el pago..
No hay garantía de que incluso después de realizar el pago, los archivos de la víctima se descifren. Pero, por lo general, para proteger su "reputación", los autores de ransomware se adhieren a su parte del trato..
Locky Ransomware cambia de .wsf a la extensión .LNK
Publicar su evolución este año en febrero; Las infecciones de Locky ransomware han disminuido gradualmente con detecciones menores de Nemucod, que Locky utiliza para infectar computadoras. (Nemucod es un archivo .wsf contenido en archivos adjuntos .zip en correos electrónicos no deseados). Sin embargo, como informa Microsoft, los autores de Locky han cambiado el adjunto de .archivos wsf a archivos de acceso directo (Extensión .LNK) que contiene comandos de PowerShell para descargar y ejecutar Locky.
Un ejemplo del correo electrónico no deseado a continuación muestra que está hecho para atraer la atención inmediata de los usuarios. Se envía con gran importancia y con caracteres aleatorios en la línea de asunto. El cuerpo del correo electrónico está vacío..
El correo electrónico no deseado normalmente se denomina como Bill llega con un archivo adjunto .zip, que contiene los archivos .LNK. Al abrir el archivo adjunto .zip, los usuarios activan la cadena de infección. Esta amenaza se detecta como TrojanDownloader: PowerShell / Ploprolo.A. Cuando el script de PowerShell se ejecuta con éxito, descarga y ejecuta Locky en una carpeta temporal completando la cadena de infección.
Tipos de archivos dirigidos por Locky Ransomware
A continuación se muestran los tipos de archivos dirigidos por Locky ransomware.
.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf .nxl, .nwb, .nrw, .nop, .nef, .ndd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx. kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .ghd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6 .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads,. adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf,. nsd, .m os, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cls, .cls, .cls .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html. flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg , .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod,. lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .assk, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak,. tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf , .mdf, .ibd, .MYI, .MYD, .frm, .od b, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (copia de seguridad), .sldm, .sldx, .ppsm, .ppsx .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti,. sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc. .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT , .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.
Cómo prevenir el ataque Locky Ransomware
Locky es un virus peligroso que posee una grave amenaza para tu PC. Se recomienda que siga estas instrucciones para prevenir el ransomware y evitar la infección..
- Siempre tenga un software anti-malware y un software anti-ransomware que proteja su PC y actualícelo regularmente.
- Actualice su sistema operativo Windows y el resto de su software actualizado para mitigar posibles vulnerabilidades de software.
- Copia de seguridad de sus archivos importantes con regularidad. Es una buena opción guardarlos sin conexión que en un almacenamiento en la nube, ya que los virus también pueden llegar allí.
- Deshabilita la carga de macros en programas de office. Abrir un archivo de documento de Word infectado podría resultar arriesgado!
- No abra el correo a ciegas en las secciones de correo electrónico 'Spam' o 'Junk'. Esto podría engañarlo para que abra un correo electrónico que contenga el malware. Piensa antes de hacer clic en los enlaces web de sitios web o correos electrónicos o descargar archivos adjuntos de correos electrónicos de remitentes que no conoces. No haga clic o abra tales archivos adjuntos:
- Archivos con extensión .LNK
- Archivos con extensión .wsf
- Archivos con extensión de punto doble (por ejemplo, profile-p29d… wsf).
Leer: Qué hacer después de un ataque de ransomware en tu computadora con Windows?
Cómo descifrar Locky Ransomware
A partir de ahora, no hay descifradores disponibles para Locky ransomware. Sin embargo, se puede utilizar un Decryptor de Emsisoft para descifrar archivos cifrados por AutoLocky, otro ransomware que también cambia el nombre de los archivos a la extensión .locky. AutoLocky usa el lenguaje de secuencias de comandos AutoI e intenta imitar el complejo y sofisticado ransomware de Locky. Puede ver la lista completa de herramientas de descifrador de ransomware disponibles aquí.
Fuentes y Créditos: Microsoft | BleepingComputer | PCRisk.