¿Qué es y cómo procede locky, el virus malicioso?

 

En el año 2016 hizo su aparición Locky, una variante de malware ransomware que tiene como objetivo principal las empresas. Dicho malware es capaz cifrar más de 160 archivos, incluyendo código fuente y bases de datos.

Según el equipo de Threat Intelligence de Avast, luego de analizar exhaustivamente los componentes de este malware, al parecer dieron con los autores originales. Se trataría del grupo de hackers denominados Dridex; los cuales han utilizado anteriormente campañas de infección de este tipo.

La procedencia de este ransomware sería de Rusia; ya que muchos de los servidores usados para difundir este malware provienen de ese país. Además, está programado para evitar infectar ordenadores que estén ubicados en Rusia.

Características de Locky

De acuerdo con la compañía de seguridad Avast, las características principales del malware son:

    1. Capacidad para generar algoritmos bajo dominios.
    2. Campañas complejas de Spam a través de correos.
    3. Encriptamiento del lado servidor.
    4. Generar paquetes genéricos que alternan binarios originales antes de ser ejecutados.
    5. Usa un algoritmo de cifrado de tipo RSA-2048 + AES-128 cuando ataca los archivos.

La forma de contagio más común es a través de correos falsos; los cuales adjuntan archivos de tipo .doc, .xls o .zip. Una vez abierto dicho archivo, el mismo no se mostrará correctamente y solicitará a la víctima que habilite las macros. Si el usuario procede a habilitarlas, de manera automática ejecutará un script, el cuál descargará la parte útil de este malware.

Durante la ejecución del script, el malware usará la palabra «Enterprise» para evitar ser detectado mediante análisis estático. A su vez también tiene la intención de hacer creer al usuario que se trata de componente válido de alguna herramienta empresarial.

La carga útil del malware se almacena en una carpeta temporal con un nombre aleatorio. Una vez que se termine la descarga se ejecutará el ransomware.

Una vez contagiado el equipo, los archivos afectados automáticamente cambiarán sus extensiones por una de las siguientes:

  • .aesir, .asasin, .diablo6, .locky, .loptr, .odin, .osiris, .shit, .thor, .ykcol, .zepto y .zzzzz

Además de cambiar las extensiones en archivos, el fondo de pantalla del escritorio mostrará una notificación exigiendo un pago para desbloquear los archivos. A su vez, también se crearán los siguientes archivos:

  • _HELP_instructions.html
  • asasin-{random characters}.htm
  • DesktopOSIRIS.htm
  • diablo6-{random characters}.htm
  • HELP_Recover_Files_.html
  • ykcol-{random characters}.htm

Locky se distribuye a través de las herramientas de exploit Neutrino, RIG, y Nuclear. En cuanto a su difusión, la Botnet Necurs es la principal autora tras la propagación del Spam que contiene este malware.

Consecuencias de Locky

Una vez que este ransomware haya afectado un ordenador, no hay manera de recuperar los archivos de manera segura. Si bien una solución antivirus remueve dicho malware, los archivos afectados quedarán cifrados y no habrá manera de descifrarlos.

Vale reseñar que este malware afecta a cualquier directorio que esté montado en ese momento. Esto incluye unidades extraíbles, carpetas remotas e incluso, servidores y equipos de otros usuarios. En cuanto a los PC de otros usuarios que se reflejen en el ordenador afectado, no importará si tiene Windows o Linux.

Aunque se realice un pago a los ciberdelincuentes, no hay una manera de garantizar si los autores cumplirán el trato. Además, también se corre el riesgo de ser objetivo en futuras campañas de ransomware.

Es importante destacar que solo en 2016, los investigadores de seguridad detectaron que 333 dominios conectaban con este malware. A su vez, los autores de Locky solo necesitan hacer pequeños cambios en su malware para mantenerlo tan peligroso como el primer día. Básicamente tienen que modificar la única parte del proceso que no se pueda corregir, la del usuario final.

Tal como señalan en ZDnet, cuando el malware logra generar una buena cantidad de ingresos, todo lo que necesitan sus autores es crear nuevo vectores de ataques. Esto en pocas palabras significa nuevas campañas de correos electrónicos para mantener activas sus operaciones criminales.

Si se cuenta con un respaldo de la data afectada, antes de proceder a restaurarla, se deberá eliminar dicho malware con una solución de seguridad.

Medidas de Seguridad para mitigar los ataques de Locky

En cuanto las medidas de seguridad a tomar para prevenir ser víctima del malware ransomware Locky, tenemos:

  • Usar la regla de respaldo 3, 2 ,1. Mantener tres backups de los archivos, dos tipos de almacenamiento diferentes y un respaldo fuera del sitio.
  • Aplicar las últimas actualizaciones de seguridad del sistema operativo.
  • Mantener actualizada la solución de seguridad instalada.
  • Capacitar a los empleados en cuanto a temas de ciberseguridad.
  • Habilitar el acceso controlado a carpetas.
  • Usar una protección en Internet que ayude a evitar el Spam y correos fraudulentos.
  • Evitar abrir correos de desconocidos y más aún si estos contienen archivos adjuntos.
  • Deshabilitar las macros de Microsoft Office de manera predeterminada.

 

No hay comentarios a esta entrada.

Déjanos un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

SUSCRÍBASE A NUESTRO NEWSLETTER