Esta web utiliza 'cookies' propias y de terceros para ofrecerte una mejor experiencia y servicio

Ok Más información

Locky: nueva amenaza de ransomware

Publicado el 22 de febrero de 2016.

Locky: nueva amenaza de ransomware

2 Flares 2 Flares ×

Un ransomware (del inglés ransom, rescate y ware, software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Locky: nueva amenaza de ransomware

El uso del ransomware como vía para obtener dinero fácil por parte de los delincuentes se ha estado incrementando exponencialmente durante los últimos años, a partir de 2013 fundamentalmente. En los últimos meses numerosas variantes de ransomware han ido apareciendo, acompañadas casi siempre de una importante campaña de propagación para intentar obtener el mayor número de víctimas posible.

PROPAGACIÓN POR EMAIL DE UN DOCUMENTO MALICIOSO

Una de estas campañas se está produciendo durante esta semana, concretamente desde el martes 16 de febrero, a través de mensajes de correo electrónico en inglés que nos hablan de una supuesta factura. Esta factura viene adjunta al mensaje en forma de un documento de Microsoft Word, tiene como nombre InvoiceXXXXXX.doc (donde XXXXXX es un número aleatorio).

Locky: nueva amenaza de ransomware

                                                                     Ejemplo de correo con adjunto malicioso

Se está comprobando que los remitentes pueden ser de cualquier parte del mundo, por lo que, evidentemente, estamos ante una campaña global, aunque, como veremos más adelante, su éxito depende del país o región que analicemos. Qué duda cabe que la mayoría de los ataques se están produciendo y se seguirán produciendo en las zonas más desarrolladas del mundo, como veremos más adelante.

En el correo que habremos recibido, observaremos un archivo adjunto (como se aprecia en la imagen de arriba). El archivo puede venir adjunto como archivo comprimido (véase la imagen de abajo) y si cometiésemos la imprudencia de descargar dicho adjunto y lo descomprimiésemos, observaríamos que se trata de un -aparentemente- inofensivo documento de Microsoft Word, el conocido procesador de textos de Office.

Locky: nueva amenaza de ransomware

                                                                       Ejemplo de documento Word malicioso

La trampa se encuentra dentro de ese documento, puesto que los delincuentes utilizan macros maliciosas para descargar y ejecutar el ransomware. Estas macros vienen desactivadas por defecto como medida de seguridad, y es que esta técnica de ejecución de malware es algo que viene existiendo desde hace casi 20 años. Por eso, aún tendríamos una última opción de “salvarnos” que sería no permitiendo que se ejecutasen las macros, cosa que Windows hace automáticamente. Si confiásemos en el contenido del documento, que no es el caso, evidentemente, le daríamos a permitir las macros; si no hacemos nada o no permitimos las macros, estaremos a salvo pues el código malicioso no se ejecutará.

LOCKY EN ACCIÓN

Si hemos sido lo suficientemente desprevenidos para descargar este documento, abrirlo y permitir la ejecución de macros, nos encontraremos con que, al cabo de unos minutos, gran parte de los ficheros de nuestro sistema estarán cifrados y aparecerá una imagen como la que vemos a continuación sustituyendo nuestro fondo de pantalla:

Locky: nueva amenaza de ransomware

                                                       Fondo de pantalla avisando del secuestro de nuestros ficheros

Como puede verse en la imagen de arriba, este tipo de instrucciones es muy similar a variantes anteriores de ransomware, como el anterior cryptolocker, que tanto daño hizo no hace tanto tiempo. En esta pantalla se nos proporcionan varios enlaces donde se explica el tipo de cifrado usado, una dirección desde donde poder recibir la clave privada correspondiente a los ficheros cifrados en nuestro sistema, e instrucciones para descargar Tor y acceder a un sitio en esta red desde donde proceder a pagar el rescate. Conviene recordar, que al igual que en los ransomware anteriores, el hecho de pagar el rescate no implica que vayamos a recuperar nuestros archivos.

En este punto, los ficheros que no sean esenciales para el funcionamiento del sistema ya estarán cifrados. Lo que hace Locky es buscar en nuestro sistema cualquier archivo que tenga un mínimo de valor para el usuario y, a continuación, encriptarlo. Para que la víctima del “secuestro” pueda seguir las instrucciones, lo que hace Locky es cuidarse de no cifrar los archivos esenciales del sistema operativo; mientras que todo lo demás, desde las imágenes a los documentos y la inmensa mayoría de archivos del usuario, acaban encriptados en un corto espacio de tiempo. Todavía tendríamos una oportunidad de “salvarnos”, si nos diésemos cuenta de que algo “extraño” ocurre inmediatamente después de abrir el documento dañino y apagásemos el ordenador urgentemente, para impedir la propagación del ransonware.

Como en anteriores ocasiones, Locky no se centra únicamente en cifrar los ficheros del sistema que infecta, sino que también buscará unidades de red, aunque estas no se encuentren mapeadas, para proceder a cifrarlas. Esta técnica se está volviendo cada vez más común, por lo que los administradores de sistemas de pequeñas y grandes empresas harían bien en revisar a qué usuarios conceden permisos de acceso a los recursos compartidos de red y bloquear lo antes posible a aquellos que ejecuten comandos de cifrados desde su sistema. En nuestra empresa, somos expertos en seguridad informática y estaremos encantados de asesorarles, como ya hacemos con nuestros clientes particulares y empresas que han contratado nuestro mantenimiento informático.

Otra característica que dificulta la recuperación de los datos es la eliminación por parte del ransomware de las copias de seguridad que el propio sistema operativo Windows genera; lo que comúnmente conocemos como “Puntos de restauración del Sistema”. Este servicio está presente en Windows desde la primera versión de XP, y es el responsable de crear copias de seguridad periódicas de nuestro equipo, con objeto de poder realizar una restauración del sistema. La mayor parte de los ransomware y malware de última generación elimina esta característica de Windows, con lo que nos será imposible restaurar nuestro sistema y recuperarlo.

Por último, en cada una de las carpetas donde se haya cifrado al menos un fichero, el ransomware deja un fichero de texto con instrucciones para recuperar la información, instrucciones que dirigen a la víctima a la siguiente página web para que realice el pago del rescate.

Locky: nueva amenaza de ransomware

                                                           Instrucciones para proceder al pago del rescate

PROPAGACIÓN DE LOCKY A NIVEL MUNDIAL

Como hemos indicado anteriormente, nos encontramos ante una campaña de propagación que está afectando notablemente a varios países de todo el mundo. Los países en los que se han detectado el mayor número de muestras coinciden con algunas de las zonas más desarrolladas y encontramos, por ejemplo, a Canadá, Estados Unidos, Nueva Zelanda, Australia, Japón o buena parte de la Unión Europea.

Locky: nueva amenaza de ransomware

Locky: nueva amenaza de ransomware

                                                                                 Niveles de propagación de Locky en el mundo

En lo que respecta a España, el documento de Word con las macros maliciosas que descarga el ransomware (detectado por distintos antivirus y antimalwares como VBA/TrojanDownloader.Agent.ASL) ha obtenido elevados ratios de detección desde el pasado miércoles 17 de febrero, manteniéndose igual e incluso aumentando en las últimas horas. Nuestra experiencia nos dice que va a permanecer bastante tiempo entre las amenazas más graves y más detectadas. Por ello, desde ExpacioNet Soluciones Informáticas, recomendamos tomar medidas de protección para evitar vernos afectados.

Locky: nueva amenaza de ransomware

                                                                   Porcentaje de detección de Locky en España

CONEXIONES CON OTRAS FAMILIAS DE MALWARE

Debido al diseño de este ransomware y su similitud con otras variantes avanzadas, se ha especulado mucho sobre quién podría estar detrás de esta campaña de propagación. Algunos expertos apuntan a que detrás de Locky podría estar la misma organización criminal que tanto daño ha causado con el troyano bancario Dridex.

 RECOMENDACIONES

Tal y como venimos comentando cada vez que analizamos un caso de ransomware, especialmente si su propagación es bastante elevada (como es el caso), resulta vital tomar las medidas de prevención adecuadas. Las copias de seguridad han de estar al día –esto, ni que decir tiene que debe de ser siempre y no sólo a causa o por amenazas detectadas como esta- y desconectadas de la red una vez finalizadas para evitar que este ransomware también las cifre. De esta forma se podrá restaurar la información afectada sin mayores pérdidas que el tiempo que tardemos en realizar esta operación.

Además, contar con un antivirus que sea capaz de detectar nuevas variantes de malware de forma rápida, y es fundamental que observemos que el antivirus está siempre “activo” y actualizado. Eso nos permitirá detectar este tipo de amenazas al poco tiempo de empezar a propagarse. Si esta protección la complementamos con herramientas específicas de nuevo cuño AntiRansom instaladas en los sistemas que puedan verse afectados, conseguiremos que salten las alertas al primer indicio de actividad del ransomware.

En ExpacioNet Soluciones Informáticas estamos a su disposición para ayudarle y asesorarle de la mejor manera posible, tanto en materia de seguridad y prevención, como si, desgraciadamente, ya ha sido “atacado” e “infectado” por esta o cualquier otra variante de estos peligrosos y dañinos programas malignos.


Deja un comentario

2 Flares Twitter 0 Facebook 0 Google+ 2 Pin It Share 0 2 Flares ×