• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    El ransomware Locky cifra los archivos locales y recursos compartidos de red sin...

    El ransomware Locky cifra los archivos locales y recursos compartidos de red sin asignar Un nuevo ransomware se ha descubierto llamado Locky que cifra los datos utilizando el cifrado AES y luego exige .5 bitcoins ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      El ransomware Locky cifra los archivos locales y recursos compartidos de red sin...

      El ransomware Locky cifra los archivos locales y recursos compartidos de red sin asignar

      Un nuevo ransomware se ha descubierto llamado Locky que cifra los datos utilizando el cifrado AES y luego exige .5 bitcoins para descifrar los archivos. Aunque el ransomware suena como algo nombrado por mis hijos, no hay nada infantil en ello. Se dirige a una gran cantidad de extensiones de archivos y aún más importante, cifra los datos en unidades de red sin asignar. El cifrado de datos en recursos compartidos de red no asignada es algo trivial y es un hecho que vimos recientemente en el código de DMA Locker que tiene esta característica y ahora en Locky, es seguro decir que esto será una norma. Al igual que CryptoWall, Locky también cambia completamente los nombres de los archivos por archivos cifrados para que sea más difícil la restauración de los datos correctos.

      En este momento, no se conoce ninguna forma para descifrar los archivos cifrados por Locky.

      Locky instalado a través de facturas falsas

      Locky actualmente está siendo distribuido a través de correo electrónico que contiene archivos adjuntos de documento de Word con macros maliciosos. El mensaje de correo electrónico contendrá un objeto similar a:

      Atención: Factura J-98223146 y un mensaje del tipo "(Documento de Microsoft Word) Por favor, vea la factura adjunta y remita el pago según los términos que figuran en la parte inferior de la factura". Un ejemplo de uno de estos mensajes de correo electrónico se puede ver a continuación.


      Se adjunta a estos mensajes de correo electrónico un documento de Word malicioso que contiene un nombre similar a invoice_J-17105013.doc. Cuando se abre el documento, el texto será ilegible y en el documento se mostrará un mensaje que indicará que se debe habilitar las macros si el texto es ilegible.



      Una vez que una víctima active las macros, las macros descargaran un archivo ejecutable desde un servidor remoto para luego ejecutarlo.


      El archivo que se descarga por la macro se almacena en la carpeta% Temp% y será ejecutado. Este ejecutable es el ransomware Locky que cuando se ejecuta comenzará a cifrar los archivos en su computadora.



      Locky encripta sus datos y cambia por completo los nombres de los archivos


      Cuando se inicia Locky se creará y asignará un único número de16 caracteres hexadecimales de la víctima y se verá como F67091F1D24A922B. Locky revisará entonces todas las unidades locales y recursos compartidos de red sin asignar para cifrar los archivos de datos. Durante el cifrado de archivos se utilizará el algoritmo de cifrado AES y sólo cifrará los archivos que coincidan con las siguientes extensiones:

      .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
      Por otra parte, Locky se saltará cualquier archivo en la ruta completa de acceso si el nombre contiene una de las siguientes cadenas:

      tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
      Cuando Locky cifra un archivo cambiará el nombre del archivo como [id_exclusivo] .locky formato [identificador]. Así que cuando se encripta un archivo llamado test.jpg sería renombrado a algo así como F67091F1D24A922B1A7FC27E19A9D9BC.locky. El identificador único y otra información también estarán incluidas al final del archivo encriptado.

      Es importante hacer hincapié en que Locky cifrará archivos en recursos compartidos de red, incluso cuando no se asignan a una unidad local. Como se predijo, esto se está convirtiendo cada vez más común y todos los administradores de sistemas deben bloquear toda la red compartida abierta a los permisos más bajos posibles.

      Como parte del proceso de cifrado, Locky, también borrará todas las instantáneas del volumen en la máquina de manera que no se pueden utilizar para restaurar los archivos de la víctima. Locky lo hace mediante la ejecución del siguiente comando:

      vssadmin.exe Delete Shadows /All /Quiet
      En el escritorio de Windows y en cada carpeta en la que se ha cifrado un archivo, Locky creará notas de rescate llamados _Locky_recover_instructions.txt. Esta nota de rescate contiene información acerca de lo sucedido a los archivos y añade enlaces para la víctima para que acceda a la página web del descifrador.


      Locky cambiará el fondo de pantalla de Windows por UserpProfile%% \ Desktop \ _Locky_recover_instructions.bmp, que contiene las mismas instrucciones que las notas de texto de rescate.


      Por último, pero no menos importante, Locky almacenará diversa información en el registro bajo las siguientes claves:

      HKCU \ Software \ Locky \ id - El identificador único asignado a la víctima.
      HKCU \ Software \ Locky \ pubkey - La clave pública RSA.
      HKCU \ Software \ Locky \ paytext - El texto que se almacena en las notas de rescate.
      HKCU \ Software \ Locky \ completada - Si el ransomware terminó cifrar el compute.r
      La página web Locky Decrypter

      Dentro de las notas de rescate de Locky los enlaces dirigen a un sitio llamado Tor Locky Decrypter. Esta página se encuentra en 6dtxgqam4crv6rr6.onion y contiene la cantidad de bitcoins para enviar como pago, de cómo comprar los bitcoins, y la dirección bitcoin que se debe enviar para el pago. Una vez que una víctima envía el pago a la dirección bitcoin asignado, esta página proporcionará un descifrador que se puede utilizar para descifrar sus archivos.


      Locky archivos relacionados

      %UserpProfile%\Desktop\_Locky_recover_instructions.bmp %UserpProfile%\Desktop\_Locky_recover_instructions.txt %Temp%\[random].exe
      Las entradas de registro relacionadas a Locky

      HKCU\Software\Locky HKCU\Software\Locky\id HKCU\Software\Locky\pubkey HKCU\Software\Locky\paytext HKCU\Software\Locky\completed 1 HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"
      Última edición por @JoseAsuncion fecha: 02/03/16 a las 01:42:54
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: El ransomware Locky cifra los archivos locales y recursos compartidos de red sin.

      "Locky" ransomware... "suerte" para evitarlo

      Este ransomware no conoce fronteras, y hemos visto altas tasas de infección en todo el mundo, comentan en un artículo publicado por Microsoft de donde sale el título de "suerte para evitarlo"

      Locky actualmente está siendo distribuido a través de correo electrónico que contiene archivos adjuntos de documento de Word con macros maliciosos y por eso Microsoft recomienda "Desactivar todos los macros excepto las firmadas digitalmente en Microsoft Word"

      • Llega por correo y el adjunto es un Word con macros.
      • Al abrir el documento y ejecutarse la macro infecta tu equipo.
      • Borra cualquier copia de seguridad de los ficheros que haya hecho Windows y comienza a cifrar los ficheros.
      • Una vez finaliza, abre con el block de notas un fichero de texto llamado “_Locky_recover_instructions.txt”



      Esta es una medida más de seguridad que está muy bien adoptar, pero tal como se puede ver en la imagen del archivo Word de la nota, este malware combina tres métodos de infección que son: Spam/Virus de Macro/Ingeniería Social, donde esta última entre justamente informándonos cuando abrimos el adjunto Word, que activemos los macros para poder verlo

      Recuerden que hasta el momento no se conoce ninguna forma para descifrar los archivos cifrados por Locky, por lo que la prevención con backups externos o herramientas como Malwarebytes Anti-Ransomware pasa a ser vital.


      Locky ransom: instrucción pantalla de bloqueo en español.




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de Chelusa
      Registrado
      dic 2014
      Ubicación
      argentina
      Mensajes
      111

      Re: El ransomware Locky cifra los archivos locales y recursos compartidos de red sin.

      uuuuuuuu otro mas xD...

    4. #4
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      328

      Re: El ransomware Locky cifra los archivos locales y recursos compartidos de red sin.

      "Locky" or Bad locky

    5. #5
      Usuario Habitual Avatar de aprenderás
      Registrado
      sep 2014
      Ubicación
      argentina
      Mensajes
      2.253

      Re: El ransomware Locky cifra los archivos locales y recursos compartidos de red sin.

      uuuuuuuu otro mas xD...
      Desde hace unos años que vienen cobrando protagonismo. Sin dudas son la amenaza más importante de esta época, han eclipsado a los otros tipos de malware. Hasta han aparecido en las noticias de los diarios.

      Ya me están convenciendo, en cualquier momento comienzo a usar el antirasomware.
      Desactivar fash, java y ahora las macros... si esto sigue así, en 10 años el consejo de microsoft va ser "apaguen windows" .

    6. #6
      Usuario Avatar de julius37
      Registrado
      feb 2015
      Ubicación
      España
      Mensajes
      129

      Re: El ransomware Locky cifra los archivos locales y recursos compartidos de red sin.

      totalmente deacuerdo contigo aprenderas, esto ya empieza a ser CARGANTE, si encima que el internet ya es caro, si hay que pagar tambien por tener herramientas para no infectarse, etc....... no sigo que me caliento

      felicidades por este gran foro.

      saludos

    7. #7
      Usuario Avatar de silvan
      Registrado
      mar 2010
      Ubicación
      Nicaragua
      Mensajes
      45

      Re: El ransomware Locky cifra los archivos locales y recursos compartidos de red sin.

      Hola estimados! Una de las maquinas de la oficina fue afectada por este ransonware. En la casa matriz el chico de IT resolvió formateando el equipo. Me cabe la inquietud relacionada al riesgo residual de esta amenaza, es decir si el formateo resuelve el problema. Gracias por sus comentarios. Saludos

    8. #8
      Usuario Avatar de Chelusa
      Registrado
      dic 2014
      Ubicación
      argentina
      Mensajes
      111

      Re: El ransomware Locky cifra los archivos locales y recursos compartidos de red sin.

      Cita Originalmente publicado por silvan Ver Mensaje
      Hola estimados! Una de las maquinas de la oficina fue afectada por este ransonware. En la casa matriz el chico de IT resolvió formateando el equipo. Me cabe la inquietud relacionada al riesgo residual de esta amenaza, es decir si el formateo resuelve el problema. Gracias por sus comentarios. Saludos
      técnicamente "formatear" no es resolver xD..osea eliminas el problema de tu equipo...PEROOOOOO el virus sigue AHÍ...en la nube...o en un correo o un archivo USB xD...deberías ANALIZAR el medio de infección, si es por correo, poner algún filtrado de archivos, si fue por USB/archivo, antivirus o soluciones como MBAN...el mejor antivirus es el usuario, si tomas las medidas preventivas NECESARIAS reducis el riegos de infección, PERO no lo eliminas...salvo que no uses la PC xD