TE AYUDAMOS A RECUPERAR TUS DATOS
Login

REPARAR RANSOMWARE LOCKY

Desde Febrero 2016 las soluciones de ESET comenzaron a detectar a Win32/Filecoder.Locky, un nuevo ransomware que se propaga a través de adjuntos con macros maliciosas. El Laboratorio de Investigación de ESET Latinoamérica ya detectó algunos casos en la región, que dado el corto tiempo de vida de esta amenaza, hablan de su impacto.

Los países en los que se reportó la presencia de Locky son México, Perú, Colombia, Chile, Argentina y Guatemala. Además, según Kevin Beaumont, investigador que lo analizó inicialmente, el correo electrónico que lo propaga está traducido a varios idiomas, ampliando su alcance y demostrando el trabajo de preparación que tiene detrás. Así, identificó su presencia en Los Países Bajos, Alemania, Arabia Saudita, Croacia, Pakistán, Polonia, Rusia y los Estados Unidos.

Y ¿por qué digo que es un nuevo ransomware “ya presente” en Latinoamérica? Porque anteriormente, primero aparecían amenazas en inglés que luego se traducían y localizaban en distintos países, como fue el caso de TorrentLocker cuando apareció en español. Pero Locky se propaga en diversos idiomas desde el principio, y ahí está la diferencia.

Cómo funciona Locky

Todo comienza cuando un usuario recibe un correo electrónico que contiene un archivo adjunto de Microsoft Word (.DOC). Este correo contiene un troyano, detectado por ESET como VBA/TrojanDownloader.Agent.ASL y otras variantes de la misma firma.

Una vez abierto, sugiere al usuario habilitar las macros para poder visualizar el archivo, que dice ser una factura y un pago de remisión. Si acepta, el troyano descarga el payload, es decir, el ransomware Locky. Como parte final de la infección, este cifra todo el contenido y se borra a sí mismo del sistema, dejando las intrucciones o pasos a seguir para recuperar los archivos infectados:


Las extensiones que puede cifrar son más de 100, es decir, prácticamente todo lo que un equipo pueda tener almacenado: imágenes .JPG, .PNG o .GIF, bases de datos como .DB, .ODB, .MDB, .SQLITEDB o .DBF , videos como .MP4, .MOV o .FLV, proyectos de programación como .JS, .VBS o .JAVA, comprimidos como .ZIP y muchos más. Todos son cifrados con la extensión “.locky”.

Además, cambia el fondo de pantalla por el aviso de rescate y crea un archivo de imagen .BMP y uno de texto .TXT y los abre para mostrar las instrucciones de pago. Tambien puede cifrar archivos de la red, considerando que haya más de un equipo conectado a la misma.

Últimamente, son muchas las campañas de malware que usan macros maliciosas para propagarse, aunque no es tan común ver que la amenaza que se descargue luego sea ransomware, como en este caso.

Fuente: http://www.welivesecurity.com/la-es/2016/02/19/locky-nuevo-ransomware-latinoamerica/

IMPRESCINDIBLE: COPIAS DE SEGURIDAD ON-LINE