Ransomware "Locky", la nueva amenaza oculta en los emails

El ransomware Locky se transmite a través del correo electrónico

Expertos de la compañía de seguridad informática Palo Alto Networks han alertado de que un nuevo tipo de ransomware se está expandiendo por todo el mundo. El virus Locky, según han descrito los analistas en el blog de la empresa, es muy similar al conocido Dridex, un sofisticado malware diseñado para robar datos bancarios. Las víctimas reciben un correo electrónico que simula ser una factura y se infectan al descargar el archivo adjunto de Microsoft Word que contiene macros.

Microsoft desactiva los macros por defecto para proteger al usuario de posibles amenazas. Estas piezas de código añaden funciones y pequeñas aplicaciones a los documentos de Office habituales. Estos complementos permitieron a un usuario de Reddit, por ejemplo, crear una versión de juego de estrategia XCOM en Excel con unas cuantas líneas de Visual Basic. Por otro lado, los macros pueden contener software malicioso muy peligroso.

Indicaciones del ransomware a sus víctimas.Indicaciones del ransomware a sus víctimas.

Si a pesar de la advertencia de seguridad de Microsoft el usuario decide habilitar los macros, el malware se descarga e infecta automáticamente el ordenador. Los especialistas sospechan que los autores de este ransomware están vinculados con Dridexdebido a los estilos similares de distribución, al parecido de los nombres de los archivos y a la ausencia de actividad de este malware particularmente agresivo coincidiendo con la aparición de Locky”.

¿Qué es el ransomware y cómo evitarlo?

Una vez instalado, este malware cifra los archivos del ordenador y exige un pago a quien quiera recuperar el control del equipo infectado. A principios de este mes, los responsables del Centro Médico Presbiteriano de Hollywood se vieron obligados a cerrar el sistema informático por la amenaza del ransomware. De acuerdo con la informaciones publicadas por la NBC, los ciberdelincuentes pidieron 9.000 bitcoins por valor de 3,6 millones de dólares.

Mapa de víctimas del ransomware Locky. | cc:paloaltonetworks

Los investigadores de Palo Alto Networks sospechan que Locky está ejecutando un ataque masivo porque se detectaron 400.000 sesiones que descargaron el mismo macro llamado Bartallex. La mayoría de las víctimas proceden de Estados Unidos, Canadá y Australia, pero hay rastros de actividad en todo el planeta.

El secuestro de PCs o Ransomware: lo que necesitas saber

A diferencia de otros ransomware, Locky parece tener un punto débil: inicia la extorsión y el intercambio de claves antes de cifrar los archivos con la extensión .locky. “Esto es interesante porque la mayoría de ransomware genera una clave de cifrado aleatoria localmente, en el host de la víctima, y luego envía una copia cifrada al atacante”. Esto daría cierto margen para diseñar una estrategia que interrumpa las redes asociadas eficazmente. No obstante, Kevin Beaumont, especialista en seguridad, advierte de que “es probable que se tenga que reconstruir el PC desde cero”. 

[Fuente:pcworld]