Así es la última variante de Locky Ransomware que nos tiene en jaque

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Una nueva variante de Locky Ransomware ha sido descubierta recientemente por el analista de malware Stormshield coldshell. Esta variante cambia a la extensión .ykcol para cifrar los archivos. Por ello, si un usuario está infectado con este ransomware, no se trata del ransomware Ykcol. Se trata por tanto de Locky, pero con otra extensión diferente. Ha sido sin duda uno de los malware más famosos de los últimos tiempos en todo el mundo.

.Ykcol, la última variante de Locky

Esta variante se distribuye actualmente a través de correos electrónicos de spam que tienen una línea de asunto de Estado de factura. Contiene un archivo adjunto 7zip o 7z. Este archivo adjunto contiene un archivo VBS que, cuando se ejecuta, descargará el ejecutable de Locky de un sitio remoto y lo ejecutará.

Es extraño que estén usando un accesorio 7z si tenemos en cuenta que muchos destinatarios pueden no tener el software necesario para abrirlo. Esto probablemente se está haciendo para evitar los filtros más estrictos puestos recientemente por Gmail y otros servicios de correo electrónico.

Una vez que el archivo se descarga y ejecuta, se escaneará el equipo para buscar los archivos y cifrarlos. Cuando esta variante de Locky cifra un archivo, modificará el nombre del mismo y luego agregará el .ykcol. Al cambiar el nombre del archivo, utiliza el formato [first_8_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [4_hexadecimal_chars] – [12_hexadecimal_chars] .ykcol.

Esto significa que un archivo denominado 1.png sería cifrado y llamado algo así como E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol.

Rescate

Cuando Locky haya terminado de cifrar el ordenador, eliminará el ejecutable descargado y luego mostrará una nota de rescate que proporcione información sobre cómo pagar. Los nombres de estas notas de rescate han cambiado para esta versión a ykcol.htm y ykcol.bmp.

Actualmente, el pago para descifrar el equipo es de 25 Bitcoins. Esto es el equivalente a unos 855 euros, en la actualidad.

Por desgracia, en este momento todavía no es posible descifrar los archivos .ykcol cifrados por el Locky Ransomware de forma gratuita.

Nueva variante del ransomware Locky

Copia de seguridad

La única manera de recuperar archivos cifrados es a través de una copia de seguridad. Es por ello que es muy recomendable realizar copias de seguridad de forma periódica. Con ello nos aseguramos que ante un problema como este podamos recuperar los archivos.

Como podemos ver, el ransomware de Locky vuelve constantemente con nuevas variantes. La razón de que vuelva después de un tiempo aparentemente calmado, lo explicamos en un artículo que publicamos recientemente.

Solamente durante el pasado mes de agosto pudimos ver dos variantes nuevas de Locky. Todas ellas, claro, con el mismo propósito: secuestrar los archivos de las víctimas y poder pedir un rescate económico.

Como siempre decimos, lo mejor es mantener nuestro equipo perfectamente actualizado y con software de seguridad instalado. Con ello podremos hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento. Además, como hemos mencionado, es conveniente realizar una copia de seguridad de los archivos frecuentemente. Solo así podremos asegurar que no perdemos datos en un ataque similar.

Publicamos un artículo donde hablábamos de los mejores programas y herramientas de seguridad gratuitos para Windows.

Fuente:https://www.redeszone.net/2017/09/19/asi-la-ultima-variante-locky-ransomware-nos-jaque/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone