Que tal linces, ya van varios casos de clientes que me llaman para decirme que un virus les encripto los archivos y que necesitan recuperarlos y quiero contarles un poco de que se trata el tema y que todos pueden caer por que no hay un antivirus que los detecte. En concreto voy a hablar de un ransomware (asi se llaman) llamado lucky.
Locky actualmente está siendo distribuido a través de correo electrónico que contiene archivos adjuntos de documento de Word con macros maliciosos. El mensaje de correo electrónico contendrá un objeto similar a:
Atención: Factura J-98223146 y un mensaje del tipo "(Documento de Microsoft Word) Por favor, vea la factura adjunta y remita el pago según los términos que figuran en la parte inferior de la factura". Un ejemplo de uno de estos mensajes de correo electrónico se puede ver a continuación.
Se adjunta a estos mensajes de correo electrónico un documento de Word malicioso que contiene un nombre similar a invoice_J-17105013.doc. Cuando se abre el documento, el texto será ilegible y en el documento se mostrará un mensaje que indicará que se debe habilitar las macros si el texto es ilegible.
Una vez que una víctima active las macros, las macros descargaran un archivo ejecutable desde un servidor remoto para luego ejecutarlo.
El archivo que se descarga por la macro se almacena en la carpeta% Temp% y será ejecutado. Este ejecutable es el ransomware Locky que cuando se ejecuta comenzará a cifrar los archivos en su computadora.
Este ransomware, cifra los datos utilizando el cifrado AES y luego exige 0.5 bitcoins para descifrar los archivos. Se dirige a una gran cantidad de extensiones de archivos y aún más importante, cifra los datos en unidades de red sin asignar.
Locky encripta sus datos y cambia por completo los nombres de los archivos
Cuando se inicia Locky se creará y asignará un único número de16 caracteres hexadecimales de la víctima y se verá como F67091F1D24A922B. Locky revisará entonces todas las unidades locales y recursos compartidos de red sin asignar para cifrar los archivos de datos. Durante el cifrado de archivos se utilizará el algoritmo de cifrado AES y sólo cifrará los archivos que coincidan con las siguientes extensiones:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Por otra parte, Locky se saltará cualquier archivo en la ruta completa de acceso si el nombre contiene una de las siguientes cadenas:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
Cuando Locky cifra un archivo cambiará el nombre del archivo como [id_exclusivo] .locky formato [identificador ]. Así que cuando se encripta un archivo llamado test.jpg sería renombrado a algo así como F67091F1D24A922B1A7FC27E19A9D9BC.locky. El identificador único y otra información también estarán incluidas al final del archivo encriptado.
Es importante hacer hincapié en que Locky cifrará archivos en recursos compartidos de red, incluso cuando no se asignan a una unidad local. Como se predijo, esto se está convirtiendo cada vez más común y todos los administradores de sistemas deben bloquear toda la red compartida abierta a los permisos más bajos posibles.
Como parte del proceso de cifrado, Locky, también borrará todas las instantáneas del volumen en la máquina de manera que no se pueden utilizar para restaurar los archivos de la víctima. Locky lo hace mediante la ejecución del siguiente comando:
vssadmin.exe Delete Shadows /All /Quiet
En el escritorio de Windows y en cada carpeta en la que se ha cifrado un archivo, Locky creará notas de rescate llamados _Locky_recover_instructions.txt. Esta nota de rescate contiene información acerca de lo sucedido a los archivos y añade enlaces para la víctima para que acceda a la página web del descifrador.
La página web Locky Decrypter
Dentro de las notas de rescate de Locky los enlaces dirigen a un sitio llamado Tor Locky Decrypter. Esta página se encuentra en 6dtxgqam4crv6rr6.onion y contiene la cantidad de bitcoins para enviar como pago, de cómo comprar los bitcoins, y la dirección bitcoin que se debe enviar para el pago. Una vez que una víctima envía el pago a la dirección bitcoin asignado, esta página proporcionará un descifrador que se puede utilizar para descifrar sus archivos.
Como evitarlo
Bueno como dije anteriormente no hay antivirus que lo detecte, pero Malware Antimalwares hace poco saco una nueva herramienta anti-ransomware , para mas informacion pueden mirar . Ademas lógicamente podemos hacer una copia de seguridad en un pendrive o disco externo de nuestros archivos mas importantes.
Aporte del usuario @tutti39
hola yo trabajo para una empresa de informática y cada vez son mas las empresas que están afectadas, les cuento que el mail que tiene el virus cambia todo el tiempo, puede ser en ingles o en cualquier idioma por eso es tan fácil de que se contagie la maquina, hay un programa que se llama HitmanPro Alert 3.7.13 Build 257 y lo estamos usando por recomendación a la pagina que están luchando contra este virus, los antivirus los detectan tarde pero lo mismo llegan a frenarlo para que sea menos el daño, lo mismo si se de algo mas se los comento.
saludos y a tener cuidado.
Resumen lvl5: Un virus que llega por correo como adjunto (ej:una factura en word) puede encriptar tus archivos y pedirte rescate, así que ojo donde metes el dedo.
No me interesan los puntos, solo quiero que llegue a destacados y que se haga conocido por que es jodido y si te agarra no hay forma de safar, así que dejame un comentario y gracias por pasar.
Locky actualmente está siendo distribuido a través de correo electrónico que contiene archivos adjuntos de documento de Word con macros maliciosos. El mensaje de correo electrónico contendrá un objeto similar a:
Atención: Factura J-98223146 y un mensaje del tipo "(Documento de Microsoft Word) Por favor, vea la factura adjunta y remita el pago según los términos que figuran en la parte inferior de la factura". Un ejemplo de uno de estos mensajes de correo electrónico se puede ver a continuación.
Se adjunta a estos mensajes de correo electrónico un documento de Word malicioso que contiene un nombre similar a invoice_J-17105013.doc. Cuando se abre el documento, el texto será ilegible y en el documento se mostrará un mensaje que indicará que se debe habilitar las macros si el texto es ilegible.
Una vez que una víctima active las macros, las macros descargaran un archivo ejecutable desde un servidor remoto para luego ejecutarlo.
El archivo que se descarga por la macro se almacena en la carpeta% Temp% y será ejecutado. Este ejecutable es el ransomware Locky que cuando se ejecuta comenzará a cifrar los archivos en su computadora.
Este ransomware, cifra los datos utilizando el cifrado AES y luego exige 0.5 bitcoins para descifrar los archivos. Se dirige a una gran cantidad de extensiones de archivos y aún más importante, cifra los datos en unidades de red sin asignar.
Locky encripta sus datos y cambia por completo los nombres de los archivos
Cuando se inicia Locky se creará y asignará un único número de16 caracteres hexadecimales de la víctima y se verá como F67091F1D24A922B. Locky revisará entonces todas las unidades locales y recursos compartidos de red sin asignar para cifrar los archivos de datos. Durante el cifrado de archivos se utilizará el algoritmo de cifrado AES y sólo cifrará los archivos que coincidan con las siguientes extensiones:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Por otra parte, Locky se saltará cualquier archivo en la ruta completa de acceso si el nombre contiene una de las siguientes cadenas:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
Cuando Locky cifra un archivo cambiará el nombre del archivo como [id_exclusivo] .locky formato [identificador ]. Así que cuando se encripta un archivo llamado test.jpg sería renombrado a algo así como F67091F1D24A922B1A7FC27E19A9D9BC.locky. El identificador único y otra información también estarán incluidas al final del archivo encriptado.
Es importante hacer hincapié en que Locky cifrará archivos en recursos compartidos de red, incluso cuando no se asignan a una unidad local. Como se predijo, esto se está convirtiendo cada vez más común y todos los administradores de sistemas deben bloquear toda la red compartida abierta a los permisos más bajos posibles.
Como parte del proceso de cifrado, Locky, también borrará todas las instantáneas del volumen en la máquina de manera que no se pueden utilizar para restaurar los archivos de la víctima. Locky lo hace mediante la ejecución del siguiente comando:
vssadmin.exe Delete Shadows /All /Quiet
En el escritorio de Windows y en cada carpeta en la que se ha cifrado un archivo, Locky creará notas de rescate llamados _Locky_recover_instructions.txt. Esta nota de rescate contiene información acerca de lo sucedido a los archivos y añade enlaces para la víctima para que acceda a la página web del descifrador.
La página web Locky Decrypter
Dentro de las notas de rescate de Locky los enlaces dirigen a un sitio llamado Tor Locky Decrypter. Esta página se encuentra en 6dtxgqam4crv6rr6.onion y contiene la cantidad de bitcoins para enviar como pago, de cómo comprar los bitcoins, y la dirección bitcoin que se debe enviar para el pago. Una vez que una víctima envía el pago a la dirección bitcoin asignado, esta página proporcionará un descifrador que se puede utilizar para descifrar sus archivos.
Como evitarlo
Bueno como dije anteriormente no hay antivirus que lo detecte, pero Malware Antimalwares hace poco saco una nueva herramienta anti-ransomware , para mas informacion pueden mirar . Ademas lógicamente podemos hacer una copia de seguridad en un pendrive o disco externo de nuestros archivos mas importantes.
Aporte del usuario @tutti39
hola yo trabajo para una empresa de informática y cada vez son mas las empresas que están afectadas, les cuento que el mail que tiene el virus cambia todo el tiempo, puede ser en ingles o en cualquier idioma por eso es tan fácil de que se contagie la maquina, hay un programa que se llama HitmanPro Alert 3.7.13 Build 257 y lo estamos usando por recomendación a la pagina que están luchando contra este virus, los antivirus los detectan tarde pero lo mismo llegan a frenarlo para que sea menos el daño, lo mismo si se de algo mas se los comento.
saludos y a tener cuidado.
Resumen lvl5: Un virus que llega por correo como adjunto (ej:una factura en word) puede encriptar tus archivos y pedirte rescate, así que ojo donde metes el dedo.
No me interesan los puntos, solo quiero que llegue a destacados y que se haga conocido por que es jodido y si te agarra no hay forma de safar, así que dejame un comentario y gracias por pasar.