• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Nueva Versión del ransomware Locky se entrega como archivo DLL

    Nueva Versión del ransomware Locky se entrega como archivo DLL Locky los binarios ejecutables se muestran como archivos DLL El grupo criminal detrás del ransomware Locky ha actualizado su malware y hay nuevas versiones de ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Nueva Versión del ransomware Locky se entrega como archivo DLL

      Nueva Versión del ransomware Locky se entrega como archivo DLL

      Locky los binarios ejecutables se muestran como archivos DLL


      El grupo criminal detrás del ransomware Locky ha actualizado su malware y hay nuevas versiones de esta amenaza que se están instalando disfrazados de archivos DLL, en lugar de los binarios ejecutables clásicos.


      El ransomware Locky se ha transformado más que cualquier otro ransomware en actividad. La razón detrás de esto es debido a que el malware ha sido creado y desarrollado por el mismo grupo que creó el troyano bancario Dridex, que también es propietario de una de las botnets más activas en Internet.

      Como tal, los recursos no son escasos con este grupo, que tienen tanto el dinero, tiempo y conocimiento para evolucionar su ransomware con nuevas técnicas, a intervalos regulares, con el fin de evitar el software de seguridad y mantener a los investigadores de seguridad en estado de alerta.

      "Locky experimenta con DLL en lugar de EXE"

      El último de estos cambios realizados es una actualización de cómo Locky llega a sus víctimas y cómo se inicia el proceso de cifrado.

      De acuerdo con el proveedor de seguridad cibernética Cyren, las últimas versiones de Locky que caen en los ordenadores infectados se muestran como archivos DLL, en lugar de los archivos EXE. El resto de la cadena de infección se mantiene como la conocemos.

      Locky llega a las víctimas a través de mensajes spam que tienen un archivo ZIP adjunto al cuerpo del correo electrónico. Descomprimir esta postal suelta un archivo JavaScript, que ejecuta el archivo DLL de descargas (en vez del clásico EXE).

      Este archivo se inyecta en un proceso, y su código malicioso es ejecutado, el cual inicia la operación de cifrado de archivos. Otra nueva característica es que este archivo DLL utiliza un programa de compresión a medida para prevenir los escáneres anti-malware para que no sea detectado fácilmente.

      Esta versión bloquea los archivos y agrega la extensión .zepto al final, lo que significa esto en una versión del ransomware Zepto, otro nombre para Locky, pero aun así es el ransomware Locky.

      "Locky ha sufrido muchos cambios"

      En el pasado, Locky ha sufrido muchas otras mutaciones. Algunos han durado, otras no.

      Por ejemplo, el spam de Locky utilizando documentos de Office y archivos FSM en lugar de una postal y archivos JS. Otras versiones han utilizado sitios web con formularios PHP vulnerables para enviar el correo basura, en lugar de las redes de bots clásicos utilizados por la banda de Dridex.


      Hacia finales de julio, los delincuentes detrás de Lockysin conexión a Internet , aunque contó con un método de cifrado más débil."] experimentaron con la incorporación de binarios del ransomware en archivos JS[/URL][/B] para luego reconstruir el archivo EXE al ejecutar el archivo JS, en lugar de descargarlo desde un servidor en línea.


      Es estas actualizaciones constantes Locky se ha mantenido a un paso por delante de los investigadores de seguridad, y por esta razón un descifrador nunca ha podido ser creado para Locky hasta ahora.

      Fuente: Softpedia
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      334

      Re: Nueva Versión del ransomware Locky se entrega como archivo DLL

      Gracias por la info!

    3. #3
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.915

      Re: Nueva Versión del ransomware Locky se entrega como archivo DLL

      Definitivamente de los dos ransomwares más peligrosos y difundidos al día de hoy que son Locky y Cerber, este primero es el que más énfasis hace en saltarse las protecciones de los antivirus (y lo logra) e implementa técnicas para evitar su análisis por parte de los analistas de malwares.

      Si a eso le sumamos que su programación es muy avanzada y por ende es de los pocos que hasta el momento nunca se le ha encontrado la manera de romperlo para poder liberar los archivos de su cifrado, diría que hoy en día Locky es el ransomware más peligroso.

      Este se sigue propagando en un 95% por la vía del correo electrónico basura (email spam) por lo que mucho cuidado al abrir un archivo adjunto, aunque parezca una factura de algún servicio.




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.