¡Locky Ransomware es mortal! Aquí está todo lo que debe saber sobre este virus.

Locky es el nombre de un Ransomware que ha evolucionado tarde, gracias a la actualización constante del algoritmo por sus autores. Locky, como lo sugiere su nombre, cambia el nombre de todos los archivos importantes en la PC infectada dándoles una extensión.locky y exige un rescate por las claves de descifrado.

Locky ransomware - Evolution

Ransomware ha crecido a una velocidad alarmante en 2016. Utiliza Email & Social Engineering para ingresar a sus sistemas informáticos. La mayoría de los correos electrónicos con documentos maliciosos adjuntos presentaban la popular variedad ransomware Locky. Entre los miles de millones de mensajes que utilizaron adjuntos de documentos maliciosos, alrededor del 97% presentaba Locky ransomware, un aumento alarmante del 64% desde el primer trimestre de 2016 cuando se descubrió por primera vez.

El Locky ransomware se detectó por primera vez en Febrero de 2016 y, según los informes, se envió a medio millón de usuarios. Locky entró en escena cuando en febrero de este año el Hollywood Presbyterian Medical Center pagó un rescate de $ 17,000 en Bitcoin por la clave de descifrado de los datos de los pacientes. Locky infectó los datos del Hospital a través de un archivo adjunto de correo electrónico disfrazado como una factura de Microsoft Word.

Desde febrero, Locky ha estado encadenando sus extensiones en un intento de engañar a las víctimas que han sido infectadas por un Ransomware diferente. Locky comenzó a cambiar el nombre original de los archivos cifrados a .locky y cuando llegó el verano evolucionó a la extensión .zepto , que se ha usado en varias campañas desde entonces.

Última escuchado Locky ahora está encriptando archivos con la extensión .ODIN , tratando de confundir a los usuarios que en realidad es el Odin ransomware.

Locky Ransomware

Locky ransomware se propaga principalmente a través de campañas de spam dirigidas por los atacantes. Estos correos electrónicos no deseados tienen en su mayoría archivos.doc como archivos adjuntos que contienen texto codificado que parecen ser macros.

Un correo electrónico típico utilizado en la distribución de Locky ransomware puede ser de una factura que llame la atención de los usuarios. Por ejemplo,

El asunto del correo electrónico podría ser: "ATTN: factura P-12345678", archivo adjunto infectado - " invoice_P-12345678.doc " (contiene macros que descargan e instalan Locky ransomware en las computadoras): "

Y el cuerpo del correo electrónico:" Querida persona: Consulte la factura adjunta (Documento de Microsoft Word) y envíe el pago de acuerdo con los términos que figuran en la parte inferior de la factura. Háganos saber si tiene alguna pregunta. ¡Le agradecemos mucho su negocio! "

Una vez que el usuario habilita la configuración de macro en el programa de Word, se descarga un archivo ejecutable que es realmente el ransomware en la PC. A partir de entonces, varios archivos en la PC de la víctima son encriptados por el ransomware, dándoles nombres únicos de combinación de 16 letras y dígitos con .shit , .thor , .locky , .zepto o .odin extensiones de archivo. Todos los archivos se cifran utilizando los algoritmos RSA-2048 y AES-1024 y requieren una clave privada almacenada en los servidores remotos controlados por los delincuentes informáticos para su descifrado.

Una vez que los archivos están encriptados, Locky genera un archivo adicional .txt y _HELP_instructions.html en cada carpeta que contiene los archivos encriptados. Este archivo de texto contiene un mensaje (como se muestra a continuación) que informa a los usuarios sobre el cifrado.

Afirma además que los archivos solo se pueden descifrar utilizando un descifrador desarrollado por delincuentes cibernéticos y con un costo de.5 BitCoin. Por lo tanto, para recuperar los archivos, se le pide a la víctima que instale el navegador Tor y siga un enlace proporcionado en los archivos de texto / fondo de pantalla. El sitio web contiene instrucciones para realizar el pago.

No hay garantía de que, incluso después de realizar el pago, se descifren los archivos de la víctima. Pero, por lo general, para proteger su reputación, los autores de ransomware generalmente se atienen a su parte del trato.

Locky Ransomware cambia de extensión.wsf a.LNK

Publica su evolución este año en febrero; Las infecciones de Locky ransomware han disminuido gradualmente con menos detecciones de Nemucod , que Locky usa para infectar computadoras. (Nemucod es un archivo.wsf contenido en archivos adjuntos.zip en correos electrónicos no deseados). Sin embargo, según informa Microsoft, los autores de Locky han cambiado el archivo adjunto de archivos.wsf a archivos de acceso directo (extensión.LNK) que contienen comandos de PowerShell para descargar y ejecutar Locky.

El ejemplo del correo electrónico no deseado a continuación muestra que está hecho para atraer la atención inmediata de los usuarios. Se envía con gran importancia y con caracteres aleatorios en la línea de asunto. El cuerpo del correo electrónico está vacío.

El correo no deseado generalmente recibe el nombre cuando Bill llega con un archivo adjunto.zip, que contiene los archivos.LNK. Al abrir el archivo adjunto.zip, los usuarios desencadenan la cadena de infección. Esta amenaza se detecta como TrojanDownloader: PowerShell / Ploprolo.A . Cuando la secuencia de comandos de PowerShell se ejecuta correctamente, descarga y ejecuta Locky en una carpeta temporal que completa la cadena de infección.

Tipos de archivos de Locky Ransomware

A continuación se muestran los tipos de archivos de Locky ransomware.

.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q vaca,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,. accdb,.7zip,.xls,.wab, ​​.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (copia de seguridad),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Cómo prevenir el ataque de Locky Ransomware

Locky es un virus peligroso que posee una grave amenaza para tu PC. Se recomienda que siga estas instrucciones para evitar el ransomware y evitar infectarse.

1. Siempre tenga un software antimalware y un software anti-ransomware que proteja su PC y actualícela regularmente.
2. Actualice su sistema operativo Windows y el resto de su software actualizado para mitigar posibles exploits de software.
3. Haga una copia de seguridad de sus archivos importantes con regularidad. Es una buena opción guardarlos fuera de línea en un almacenamiento en la nube ya que el virus también puede llegar allí
4. Inhabilitar la carga de macros en los programas de Office. ¡Abrir un archivo de documento de Word infectado podría ser arriesgado!
5. No abra ciegamente el correo en las secciones de correo electrónico `Correo no deseado` o `Correo no deseado`. Esto podría engañarte para abrir un correo electrónico que contenga el malware. Piense antes de hacer clic en enlaces web en sitios web o correos electrónicos o descargar archivos adjuntos de correo electrónico de remitentes que no conoce. No haga clic o abra tales archivos adjuntos:
1. Archivos con extensión.LNK
2. Archivos con extensión.wsf
3. Archivos con extensión de punto doble (por ejemplo, perfil-p29d … wsf).

Leer : ¿Qué hacer después de un ataque de Ransomware en su computadora con Windows?

Cómo descifrar Locky Ransomware

Hasta el momento, no hay descifradores disponibles para Locky ransomware. Sin embargo, un descifrador de Emsisoft se puede utilizar para descifrar archivos cifrados por AutoLocky , otro ransomware que también cambia el nombre de los archivos a la extensión.locky. AutoLocky utiliza el lenguaje de escritura AutoI e intenta imitar el complejo y sofisticado Locky ransomware. Puede ver la lista completa de herramientas de descifrado de ransomware disponibles aquí.

Fuentes y créditos : Microsoft | BleepingComputer | PCRisk.