Alerta de seguridad
‘Locky’.
Así funciona el
reciente cryptolocker
El equipo de Soporte Técnico de Panda Security,
detectó una nueva variante del peligroso malware cryptolocker llamado
‘Locky’. A continuación, te detallamos cómo opera y de qué vulnerabilidades
se aprovecha para infectar los equipos y secuestrar la data allí almacenada,
·
Llega por correo y el adjunto es un word con macros.
·
Al abrir el documento y ejecutarse la macro infecta tu
equipo.
·
Borra cualquier copia de seguridad de los
ficheros que haya hecho Windows y comienza a cifrar los ficheros.
·
Una vez finaliza, abre con el block de notas un
fichero de texto llamado “_Locky_recover_instructions.txt”
Los técnicos de nuestro equipo de Soporte
recomiendan ante la sospecha de haber sido atacados por Locky, buscar en nuestro equipo uno de estos
ficheros:
·
“_Locky_recover_instructions.txt”
·
“_Locky_recover_instructions.bmp”
En esta variante de Cryptolocker, el malware opera cuando se abre el documento de Word
que origina la infección; en ese momento,
lo que realmente hacemos es descargar el Locky, y por lo que hemos visto
en todos los casos detectados se descarga el malware de un servidor Web legal
comprometido y en el que aloja el malware. Estas son algunas de las URLs en las
que hemos identificado se aloja el malware:
Algunas de las variantes utilizaban PowerShell para
hacer la descarga y ejecución de Locky desde la macro, siendo el
resto del funcionamiento similar a otras variantes ya identificadas con anterioridad.
¿Qué
es CryptoLocker?
Els una familia reciente
de ransoms cuyo objetivo es la
extorsión al usuario. En cuanto el usuario (la víctima) ejecuta el Troyano este
se instala como residente en el equipo y:
·
Realiza una copia de sí
mismo en una ruta del perfil del usuario (AppData, LocalAppData)
·
Crea una entrada en los
“autoruns”para asegurarse la ejecución al reinicio.
·
Ejecuta dos procesos de
sí mismo fichero. Uno es el principal y otro para proteger el proceso original
frente a cierres.
Cifrado
de los ficheros en disco
El troyano genera
una clave simétrica aleatoria por cada fichero que va a cifrar, y cifra el
contenido del fichero con AES utilizando esta clave. Después cifra la clave
aleatoria con un algoritmo asimétrico de clave pública-privada (RSA) con claves
de que superan los 1024 bits de longitud (hemos visto muestras que utilizan
claves de 2048 bits) y la añade al fichero cifrado. Este procedimiento
garantiza que solo el poseedor de la clave privada del RSA, será capaz de
obtener la clave aleatoria con la que se ha cifrado el fichero. Además, como se
realiza una operación de sobrescritura se impide la recuperación del fichero
mediante técnicas forenses.
¿Cómo
evitar CryptoLocker?
El método de infección que
utiliza es la transmisión por email mediante el uso de
ingeniería social. Por lo que nuestros consejos son:
·
Extremar las
precauciones ante emails de remitentes no esperados, especialmente
para aquellos que incluyen ficheros adjuntos.
·
Desactivar la política
de Windows que oculta las extensiones conocidas también ayudará a reconocer
un ataque de este tipo.
·
Tener un sistema
de backup de los ficheros críticos, lo que nos garantiza que no solo
en caso de infección podamos mitigar el daño causado por el malware,
sino que también nos cubrimos antes problemas del hardware.
·
Si no tenemos un backup
y nos hemos infectado, no recomendamos el pago del rescate. Esta NUNCA debería
ser la solución para recuperar nuestros ficheros, ya que convierte este malware
en un modelo de negocio rentable, lo que impulsará el crecimiento y la expansión
de este tipo de ataque.
·
Por último, y muy
importante, protégete con un antivirus actualizado, independientemente del
sistema operativo que tengas (Windows, Mac o Android)
No hay comentarios:
Publicar un comentario