Ransomware “Locky”, la nueva amenaza oculta en los emails

Expertos de la compa√Ī√≠a de seguridad inform√°tica Palo Alto Networks han alertado de que un nuevo tipo de ransomware se est√° expandiendo por todo el mundo. El virus Locky, seg√ļn han descrito los analistas en el blog de la empresa, es muy similar al conocido Dridex, un sofisticadomalware dise√Īado para robar datos bancarios. Las v√≠ctimas reciben un correo electr√≥nico que simula ser una factura y se infectan al descargar el archivo adjunto de Microsoft Word que contiene macros.

Microsoft desactiva los macros por defecto para proteger al usuario de posibles amenazas. Estas piezas de c√≥digo a√Īaden funciones y peque√Īas aplicaciones a los documentos de Office habituales. Estos complementos permitieron a un usuario de Reddit, por ejemplo, crear una versi√≥n de juego de estrategia XCOM en Excel con unas cuantas l√≠neas de Visual Basic. Por otro lado, los macros pueden contener software malicioso muy peligroso.

Indicaciones del ransomware a sus víctimas.

Si a pesar de la advertencia de seguridad de Microsoft el usuario decide habilitar los macros, el malware se descarga e infecta autom√°ticamente el ordenador. Los especialistas sospechan que los autores de este ransomware est√°n vinculados con Dridex ‚Äúdebido a los estilos similares de distribuci√≥n, al parecido de los nombres de los archivos y a la ausencia de actividad de este malware particularmente agresivo coincidiendo con la aparici√≥n de Locky‚ÄĚ.

Una vez instalado, este malware cifra los archivos del ordenador y exige un pago a quien quiera recuperar el control del equipo infectado. A principios de este mes, los responsables del Centro Médico Presbiteriano de Hollywood se vieron obligados a cerrar el sistema informático por la amenaza del ransomware. De acuerdo con la informaciones publicadas por la NBC, los ciberdelincuentes pidieron 9.000 bitcoins por valor de 3,6 millones de dólares.

Los investigadores de Palo Alto Networks sospechan que Locky está ejecutando un ataque masivo porque se detectaron 400.000 sesiones que descargaron el mismo macro llamado Bartallex. La mayoría de las víctimas proceden de Estados Unidos, Canadá y Australia, pero hay rastros de actividad en todo el planeta.

A diferencia de otros ransomware, Locky parece tener un punto d√©bil: inicia la extorsi√≥n y el intercambio de claves antes de cifrar los archivos con la extensi√≥n .locky. ‚ÄúEsto es interesante porque la mayor√≠a de ransomware genera una clave de cifrado aleatoria localmente, en el host de la v√≠ctima, y luego env√≠a una copia cifrada al atacante‚ÄĚ. Esto dar√≠a cierto margen para dise√Īar una estrategia que interrumpa las redes asociadas eficazmente. No obstante, Kevin Beaumont, especialista en seguridad, advierte de que ‚Äúes probable que se tenga que reconstruir el PC desde cero‚ÄĚ.

Fuente:http://computerhoy.com/

Tags: