Una nueva variante de Locky Ransomware ha sido descubierta recientemente por el analista de malware Stormshield coldshell. Esta variante cambia a la extensión .ykcol para cifrar los archivos. Por ello, si un usuario está infectado con este ransomware, no se trata del ransomware Ykcol. Se trata por tanto de Locky, pero con otra extensión diferente. Ha sido sin duda uno de los malware más famosos de los últimos tiempos en todo el mundo.
.Ykcol, la última variante de Locky
Esta variante se distribuye actualmente a través de correos electrónicos de spam que tienen una línea de asunto de Estado de factura. Contiene un archivo adjunto 7zip o 7z. Este archivo adjunto contiene un archivo VBS que, cuando se ejecuta, descargará el ejecutable de Locky de un sitio remoto y lo ejecutará.
Es extraño que estén usando un accesorio 7z si tenemos en cuenta que muchos destinatarios pueden no tener el software necesario para abrirlo. Esto probablemente se está haciendo para evitar los filtros más estrictos puestos recientemente por Gmail y otros servicios de correo electrónico.
Una vez que el archivo se descarga y ejecuta, se escaneará el equipo para buscar los archivos y cifrarlos. Cuando esta variante de Locky cifra un archivo, modificará el nombre del mismo y luego agregará el .ykcol. Al cambiar el nombre del archivo, utiliza el formato [first_8_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [4_hexadecimal_chars] – [12_hexadecimal_chars] .ykcol.
Esto significa que un archivo denominado 1.png sería cifrado y llamado algo así como E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol.
Rescate
Cuando Locky haya terminado de cifrar el ordenador, eliminará el ejecutable descargado y luego mostrará una nota de rescate que proporcione información sobre cómo pagar. Los nombres de estas notas de rescate han cambiado para esta versión a ykcol.htm y ykcol.bmp.
Actualmente, el pago para descifrar el equipo es de 25 Bitcoins. Esto es el equivalente a unos 855 euros, en la actualidad.
Por desgracia, en este momento todavía no es posible descifrar los archivos .ykcol cifrados por el Locky Ransomware de forma gratuita.
Copia de seguridad
La única manera de recuperar archivos cifrados es a través de una copia de seguridad. Es por ello que es muy recomendable realizar copias de seguridad de forma periódica. Con ello nos aseguramos que ante un problema como este podamos recuperar los archivos.
Como podemos ver, el ransomware de Locky vuelve constantemente con nuevas variantes. La razón de que vuelva después de un tiempo aparentemente calmado, lo explicamos en un artículo que publicamos recientemente.
Solamente durante el pasado mes de agosto pudimos ver dos variantes nuevas de Locky. Todas ellas, claro, con el mismo propósito: secuestrar los archivos de las víctimas y poder pedir un rescate económico.
Como siempre decimos, lo mejor es mantener nuestro equipo perfectamente actualizado y con software de seguridad instalado. Con ello podremos hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento. Además, como hemos mencionado, es conveniente realizar una copia de seguridad de los archivos frecuentemente. Solo así podremos asegurar que no perdemos datos en un ataque similar.
Publicamos un artículo donde hablábamos de los mejores programas y herramientas de seguridad gratuitos para Windows.
Fuente:https://www.redeszone.net/2017/09/19/asi-la-ultima-variante-locky-ransomware-nos-jaque/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad