• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Locky ransomware ahora utiliza la extensión .ODIN a los archivos cifrados

    Locky ransomware ahora utiliza la extensión .ODIN a los archivos cifrados Locky, una de las familias ransomware más prolíficas de este año, ha cambiado su modus operandi, una vez más, mediante la adopción de una ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Mensaje Locky ransomware ahora utiliza la extensión .ODIN a los archivos cifrados

      Locky ransomware ahora utiliza la extensión .ODIN a los archivos cifrados



      Locky, una de las familias ransomware más prolíficas de este año, ha cambiado su modus operandi, una vez más, mediante la adopción de una nueva extensión que se anexa a los archivos cifrados.


      Detectado por primera vez en febrero, cuando se destacó porque podía cifrar archivos en recursos compartidos de red sin asignar , Locky cambiaba originalmente el nombre a los archivos cifrados por [id_exclusivo] .locky [identificador]. A principios del verano, los investigadores revelaron que Locky cambió a la extensión .zepto , que ha sido utilizado en varias campañas desde entonces.

      Ahora, Locky está anexando la extensión .ODIN a los archivos cifrados, que está creando una cierta confusión, ya que las víctimas pueden creer que han sido infectados con una nueva variante ransomware. Sin embargo, desde BleepingComputer, Lawrence Abrams señala que este no es un ransomware llamado Odin, sino que es el conocido Locky, que está utilizando la extensión .ODIN en lugar de .zepto.

      Al igual que antes, la nueva versión del software malicioso se distribuye a través de correos electrónicos no deseados que contiene archivos de comandos como archivos adjuntos. Tan pronto como el destinatario abre el archivo adjunto, el código malicioso en estos archivos de comandos descarga un instalador DLL cifrado, después de lo cual descifra y ejecuta para infectar el sistema con Locky.

      Una vez ejecutado, el ransomware cifra los archivos del usuario, cambiando el nombre de ellos, y agregando la extensión .ODIN. A continuación, el malware visualiza notas de rescate en el sistema para informar al usuario sobre el ataque. En esta nueva variante, los nombres de las notas de rescate han sido cambiados por _HOWDO_text.html, _HOWDO_text.bmp, y _ [] 2_digit_number _HOWDO_text.html.

      Recientemente, Locky también está utilizando un servidor de comando y control (C & C), cambiándolo a un modo sin conexión de nuevo como lo hizo a mediados de julio . En ese momento, el cambio hecho lo hace más difícil para los administradores de TI y los investigadores de seguridad para detener las infecciones por Locky, porque bloquear las conexiones de C & C ya no tiene el efecto deseado.

      Ahora, los investigadores de Avira revelan que el ransomware ha cambiado de nuevo a la utilización de servidores C & C, mientras que también informan que sólo pocos afiliados continúan utilizando el modo sin conexión. Si bien no hay información sobre lo determinado exactamente, los operadores de Locky aún no han revertido el cambio, Avira explica que el uso de un modo sin conexión es un arma de doble filo para los cibercriminales.

      "Por un lado, al no dar información al C & C - y una dirección IP - que permita a la red Locky mantenerse fuera de la vista de las fuerzas del orden y de los investigadores de seguridad. Pero, por otro lado, reduce las oportunidades de los delincuentes puedan saber sobre la eficacia de las campañas individuales de distribución Locky administrados por sus afiliados ", señala Avira.

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Locky ransomware ahora utiliza la extensión .ODIN a los archivos cifrados

      Definitivamente como lo hemos comentado en varias oportunidades, el ransomware Locky es actualmente el más difundido (seguido por el Ransom.Cerbrer) del cual se lanzan campañas nuevas de emails spam todos los días y hasta dos o tres diferentes en el mismo día.

      También es uno de los pocos ransomwares que, por su correcto diseño, no se le ha logrado romper para que las victimas puedan recuperar los archivos cifrados sin tener que pagar, por lo que no hay solución disponible para quienes resulten infectado con ninguna de sus variantes .locky, .Zepto y la ahora nueva .Odin.


      Y así es como se ve una infección por el ransomware Locky en su variante .Odin que comparti por Twitter el día lunes al ser descubierta.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.