Secuestro de datos

Locky Ransomware es mortal! Aquí está todo lo que debe saber sobre este virus.

Locky Ransomware es mortal! Aquí está todo lo que debe saber sobre este virus.

Locky es el nombre de un Ransomware que ha ido evolucionando tardíamente, gracias a la constante actualización del algoritmo por parte de sus autores. Locky, como sugiere su nombre, cambia el nombre de todos los archivos importantes en la PC infectada dándoles una extensión .locky y exige un rescate por las claves de descifrado.

Locky ransomware - Evolución

El ransomware ha crecido a un ritmo alarmante en 2016. Utiliza correo electrónico e ingeniería social para ingresar a sus sistemas informáticos. La mayoría de los correos electrónicos con documentos maliciosos adjuntos incluían la popular variedad de ransomware Locky. Entre los miles de millones de mensajes que utilizaron archivos adjuntos de documentos maliciosos, alrededor del 97% incluía el ransomware Locky, lo que representa un aumento alarmante del 64% desde el primer trimestre de 2016, cuando se descubrió por primera vez.

La Locky ransomware se detectó por primera vez en febrero de 2016 y, según los informes, se envió a medio millón de usuarios. Locky entró en el centro de atención cuando en febrero de este año el Hollywood Presbyterian Medical Center pagó un rescate de Bitcoin de $ 17,000 por la clave de descifrado de los datos del paciente. Locky infectó los datos del hospital a través de un archivo adjunto de correo electrónico disfrazado como una factura de Microsoft Word.

Desde febrero, Locky ha estado encadenando sus extensiones en un intento por engañar a las víctimas de que han sido infectadas por un ransomware diferente. Locky comenzó originalmente a cambiar el nombre de los archivos cifrados a .locky y cuando llegó el verano, se convirtió en el .zepto extensión, que se ha utilizado en varias campañas desde.

Escuchado por última vez, Locky ahora está encriptando archivos con .ODIN extensión, tratando de confundir a los usuarios que en realidad es el ransomware Odin.

Locky ransomware

Locky ransomware se propaga principalmente a través de campañas de correo electrónico no deseado realizadas por los atacantes. Estos correos electrónicos no deseados tienen principalmente .archivos .doc como archivos adjuntos que contienen texto codificado que parece ser macros.

Un correo electrónico típico utilizado en la distribución de ransomware Locky puede ser una factura que capte la atención de la mayoría de los usuarios, por ejemplo,

El asunto del correo electrónico podría ser - "ATENCIÓN: Factura P-12345678", adjunto infectado - "invoice_P-12345678.Doc"(Contiene macros que descargan e instalan el ransomware Locky en las computadoras):"

Y el cuerpo del correo electrónico: "Estimado / a, consulte la factura adjunta (documento de Microsoft Word) y envíe el pago de acuerdo con los términos que figuran en la parte inferior de la factura. Háganos saber si tiene alguna pregunta. Agradecemos mucho su negocio!"

Una vez que el usuario habilita la configuración de macros en el programa Word, se descarga en la PC un archivo ejecutable que en realidad es el ransomware. A partir de entonces, varios archivos en la PC de la víctima son encriptados por el ransomware dándoles nombres únicos de combinación de 16 letras y dígitos con .mierda, .Thor, .locky, .zepto o .odin extensiones de archivo. Todos los archivos se cifran con el RSA-2048 y AES-1024 algoritmos y requieren una clave privada almacenada en los servidores remotos controlados por los ciberdelincuentes para el descifrado.

Una vez que los archivos están encriptados, Locky genera una .TXT y _HELP_instructions.html archivo en cada carpeta que contiene los archivos cifrados. Este archivo de texto contiene un mensaje (como se muestra a continuación) que informa a los usuarios del cifrado.

Además, establece que los archivos solo se pueden descifrar utilizando un descifrador desarrollado por ciberdelincuentes y costos .5 BitCoin. Por lo tanto, para recuperar los archivos, se le pide a la víctima que instale el navegador Tor y siga un enlace provisto en los archivos de texto / fondo de pantalla. El sitio web contiene instrucciones para realizar el pago.

No hay garantía de que incluso después de realizar el pago, los archivos de la víctima sean descifrados. Pero generalmente para proteger su 'reputación', los autores de ransomware suelen ceñirse a su parte del trato.

Locky Ransomware cambia de .wsf a .Extensión LNK

Publique su evolución este año en febrero; Las infecciones por ransomware Locky han disminuido gradualmente con detecciones menores de Nemucod, que Locky usa para infectar computadoras. (Nemucod es un .wsf archivo contenido en .zip adjuntos en correo electrónico no deseado). Sin embargo, como informa Microsoft, los autores de Locky han cambiado el archivo adjunto de .archivos wsf a archivos de acceso directo (.Extensión LNK) que contienen comandos de PowerShell para descargar y ejecutar Locky.

Un ejemplo del correo electrónico no deseado a continuación muestra que está hecho para atraer la atención inmediata de los usuarios. Se envía con mucha importancia y con caracteres aleatorios en la línea de asunto. El cuerpo del correo electrónico está vacío.

El correo electrónico no deseado suele nombrar cuando Bill llega con un .archivo adjunto zip, que contiene el .Archivos LNK. Al abrir el .zip adjunto, los usuarios desencadenan la cadena de infección. Esta amenaza se detecta como TrojanDownloader: PowerShell / Ploprolo.A. Cuando el script de PowerShell se ejecuta con éxito, descarga y ejecuta Locky en una carpeta temporal completando la cadena de infección.

Tipos de archivos a los que apunta Locky Ransomware

A continuación se muestran los tipos de archivos a los que apunta Locky ransomware.

.yuv, .ycbcra, .xis, .wpd, .Texas, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rata, .raf, .por, .qbx, .qbw, .qbr, .qba, .psafe3, .Sociedad Anónima, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .Mi d, .mrw, .Moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .gris, .gris, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .arrastrarse, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .Bahía, .Banco, .backupdb, .respaldo, .espalda, .awg, .apj, .ait, .agdl, .anuncios, .adb, .acr, .ach, .accdt, .accdr, .acordar, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .Iniciar sesión, .hpp, .disco duro, .grupos, .flvv, .edb, .dit, .eso, .cmt, .compartimiento, .aiff, .xlk, .taco, .tlg, .decir, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .palmadita, .petróleo, .odc, .nsh, .NS G, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .diseño, .ddd, .dcr, .dac, .cdx, .CDF, .mezcla, .bkp, .adp, .actuar, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .punto, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .ahorrar, .a salvo, .pwm, .paginas, .obj, .mlb, .mbx, .iluminado, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .ob, .msg, .mapimail, .jnt, .Doc, .dbx, .contacto, .medio, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .cartera, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .fragua, .das, .d3dbsp, .bsa, .bicicleta, .activo, .apk, .gpg, .aes, .ARCO, .PAQ, .alquitrán.bz2, .tbk, .bak, .alquitrán, .tgz, .rar, .Código Postal, .djv, .djvu, .svg, .bmp, .png, .gif, .crudo, .cgm, .jpeg, .jpg, .tif, .pelea, .NEF, .psd, .cmd, .murciélago, .clase, .frasco, .Java, .áspid, .brd, .sch, .dch, .aderezo, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MI YO, .MI D, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .poner, .ms11 (copia de seguridad), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .maceta, .pps, .sti, .sxi, .otp, .odp, .semanas, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .PUNTO, .max, .xml, .TXT, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .rsc, .crt, .ke.

Cómo prevenir el ataque de Locky Ransomware

Locky es un virus peligroso que representa una grave amenaza para su PC. Se recomienda que siga estas instrucciones para prevenir el ransomware y evitar la infección.

  1. Tenga siempre un software anti-malware y un software anti-ransomware que proteja su PC y actualícelo con regularidad.
  2. Actualice su sistema operativo Windows y el resto de su software para mitigar posibles vulnerabilidades de software.
  3. Realice copias de seguridad de sus archivos importantes con regularidad. Es una buena opción guardarlos fuera de línea que en un almacenamiento en la nube, ya que los virus también pueden llegar allí
  4. Deshabilitar la carga de macros en programas de Office. Abrir un archivo de documento de Word infectado podría resultar arriesgado!
  5. No abra ciegamente el correo en las secciones de correo electrónico "Spam" o "Correo no deseado". Esto podría engañarlo para que abra un correo electrónico que contenga el malware. Piense antes de hacer clic en enlaces web en sitios web o correos electrónicos o descargar archivos adjuntos de correo electrónico de remitentes que no conoce. No haga clic ni abra dichos archivos adjuntos:
    1. Archivos con .Extensión LNK
    2. Archivos con.extensión wsf
    3. Archivos con extensión de doble punto (por ejemplo, profile-p29d… wsf).

Leer: Qué hacer después de un ataque de Ransomware en su computadora con Windows?

Cómo descifrar Locky Ransomware

A partir de ahora, no hay descifradores disponibles para Locky ransomware. Sin embargo, se puede utilizar un Decryptor de Emsisoft para descifrar archivos cifrados por AutoLocky, otro ransomware que también cambia el nombre de los archivos al .extensión locky. AutoLocky utiliza el lenguaje de secuencias de comandos AutoI e intenta imitar el complejo y sofisticado ransomware Locky. Puede ver la lista completa de herramientas de descifrado de ransomware disponibles aquí.

Fuentes y Créditos: Microsoft | BleepingComputer | PCRisk.

Ratón Vuelva a asignar los botones del mouse de manera diferente para diferentes programas con X-Mouse Button Control
Vuelva a asignar los botones del mouse de manera diferente para diferentes programas con X-Mouse Button Control
Tal vez necesite una herramienta que pueda hacer que el control de su mouse cambie con cada aplicación que use. Si este es el caso, puede probar una a...
Ratón Revisión del mouse inalámbrico Microsoft Sculpt Touch
Revisión del mouse inalámbrico Microsoft Sculpt Touch
Recientemente leí sobre el Microsoft Sculpt Touch mouse inalámbrico y decidí comprarlo. Después de usarlo por un tiempo, decidí compartir mi experienc...
Ratón Trackpad en pantalla y puntero del mouse AppyMouse para tabletas Windows
Trackpad en pantalla y puntero del mouse AppyMouse para tabletas Windows
Los usuarios de tabletas a menudo pierden el puntero del mouse, especialmente cuando son habituales para usar las computadoras portátiles. Los teléfon...