CSI CONSULTORES Desde el martes 16 de Febrero de este año, se identificaron equipos infectados con Locky, un nuevo tipo de ransomware, que efectivamente como algunos adelantaron en tendencias en Diciembre del 2015 y Enero 2016, ha impacto a miles de equipos en México y otros países de Latinoamérica y Norteamérica, dejando los archivos encriptados y sin posibilidad de recuperación para muchos usuarios y empresas.
Al igual que otros ransomwares, Locky utiliza como vector de ataque el correo electrónico, adjuntando un archivo de Word con macros que realizan la descarga del troyano, y que es quien realiza las actividades maliciosas en el equipo. El correo electrónico contiene información falsa sobre una factura, sin embargo como ya se ha visto con otros ataques, el pretexto puede ser cualquiera para engañar al usuario.
Una vez infectado el equipo, Locky realiza las siguientes actividades:
- Encripción de prácticamente todos los archivos en carpetas del usuario.
- Busca carpetas compartidas a las cuales el usuario tiene acceso en la red y realiza también la encripción de los archivos en dichas carpetas.
- Todos los archivos encriptados tendrán la extensión .Locky.
- Se crean archivos .TXT, .PNG y .HTML en cada carpeta con la información del cibercriminal para realizar el pago.
- Aparece una pantalla al usuario pidiendo el deposito de bitcoins a cambio de la llave de desencripción.
Aunque la mayoría de firmas de seguridad ya lo han detectado como parte de sus actualizaciones de patrones, es muy posible que en un corto plazo se identifiquen nuevas variantes que vuelvan a poner en riesgo a los usuarios y sus archivos.
Por el tipo de campaña masiva de correos electrónicos utiliza para su distribución, es que Locky se ha convertido en un ransomware muy peligroso. Esto aunado a que se han utilizado mecanismos multilenguaje para aumentar el rango de usuarios infectados.
¿Qué hacer para prevenir?
- Mantener actualizado el antivirus en el equipo.
- Deshabilitar el uso de macros automáticamente en los productos de Office.
- Realizar respaldos en dispositivos de almacenamiento externo, que sólo se utilicen para ese fin y que no estén permanentemente conectados a los equipos.
- Realizar una revisión de los accesos de los usuarios, garantizando que sólo posean los necesarios para su operación.
- Si es posible, habilitar la función de “Versiones Anteriores” en el sistema operativo, está función permitirá recuperar algunos archivos en caso de infección.
- Aumentar la sensibilidad de los usuarios para que puedan identificar correos que se puedan ser sospechosos antes de abrir el archivo adjunto.
¿Qué hacer en caso de infección?
Al igual que con la mayoría de ransomwares, el mejor consejo una vez identificada la infección es APAGAR EL EQUIPO, esto ayudara a detener la encripción de más archivos tanto de forma local como en la red.
Si la opción de restauración a través de un respaldo reciente no es factible, se pueden utilizar herramientas especializadas de recuperación de archivos. Sin embargo es recomendable que esta actividad sea realizada fuera de línea y de preferencia en otro equipo, conectando el disco duro infectado de forma externa o interna asegurándose de no iniciar con el cuando la computadora arranque.
Aunque es posible que la mayoría de información ya esté encriptada cuando el usuario se percate de la infección, y de acuerdo a distintas pruebas realizadas por nuestro equipo de ingenieros, es posible recuperar la información por la forma en la que Locky realiza la encripción, dado que crea una copia nueva del archivo al cifrarlo y borra el original. Esto permite la opción de recuperación con herramientas especializadas para archivos eliminados.
Por ningún motivo es recomendable efectuar el pago a los cibercriminales, debido a que no es posible asegurar que vayan a entregar la llave para la desencripción y además porque el realizar el pago, sólo los alentará a seguir realizando estas actividades.
Fuente: Equipo de Investigación de CSI | Consultores en Seguridad de la Información
www.csinfo.com.mx
