Locky, un nuevo ransomware ya presente en Latinoamérica

Esta semana, las soluciones de ESET comenzaron a detectar a Win32/Filecoder.Locky, un nuevo ransomware que se propaga a través de adjuntos con macros maliciosas. El Laboratorio de Investigación de ESET Latinoamérica ya detectó algunos casos en la región, que dado el corto tiempo de vida de esta amenaza, hablan de su impacto.

Los países en los que se reportó la presencia de Locky son México, Perú, Colombia, Chile, Argentina y Guatemala. Además, según Kevin Beaumont, investigador que lo analizó inicialmente, el correo electrónico que lo propaga está traducido a varios idiomas, ampliando su alcance y demostrando el trabajo de preparación que tiene detrás. Así, identificó su presencia en Los Países Bajos, Alemania, Arabia Saudita, Croacia, Pakistán, Polonia, Rusia y los Estados Unidos.

Y ¿por qué digo que es un nuevo ransomware “ya presente” en Latinoamérica? Porque anteriormente, primero aparecían amenazas en inglés que luego se traducían y localizaban en distintos países, como fue el caso de TorrentLocker cuando apareció en español. Pero Locky se propaga en diversos idiomas desde el principio, y ahí está la diferencia.

Cómo funciona Locky

Todo comienza cuando un usuario recibe un correo electrónico que contiene un archivo adjunto de Microsoft Word (.DOC). Este correo contiene un troyano, detectado por ESET como VBA/TrojanDownloader.Agent.ASL y otras variantes de la misma firma.

Una vez abierto, sugiere al usuario habilitar las macros para poder visualizar el archivo, que dice ser una factura y un pago de remisión. Si acepta, el troyano descarga el payload, es decir, el ransomware Locky. Como parte final de la infección, este cifra todo el contenido y se borra a sí mismo del sistema, dejando las intrucciones o pasos a seguir para recuperar los archivos infectados:

Imagen de Kevin Beaumont

Imagen de Kevin Beaumont

Las extensiones que puede cifrar son más de 100, es decir, prácticamente todo lo que un equipo pueda tener almacenado: imágenes .JPG, .PNG o .GIF, bases de datos como .DB, .ODB, .MDB, .SQLITEDB o .DBF , videos como .MP4, .MOV o .FLV, proyectos de programación como .JS, .VBS o .JAVA, comprimidos como .ZIP y muchos más. Todos son cifrados con la extensión “.locky”.

Además, cambia el fondo de pantalla por el aviso de rescate y crea un archivo de imagen .BMP y uno de texto .TXT y los abre para mostrar las instrucciones de pago. Tambien puede cifrar archivos de la red, considerando que haya más de un equipo conectado a la misma.

Últimamente, son muchas las campañas de malware que usan macros maliciosas para propagarse, aunque no es tan común ver que la amenaza que se descargue luego sea ransomware, como en este caso.

Prevención y, en caso de infección, restaurar con backup

Como la gran mayoría de los casos de ransomware, Locky juega con la desesperación de los usuarios que creen que sus archivos están perdidos y deben pagar el rescate para recuperarlos. Claro que recomendamos no pagar, ya que no hay ninguna garantía de que los cibercriminales devuelvan el acceso y además así se alentaría su conducta extorsiva.

En verdad, lo importante es prevenir para que no se llegue a este punto, aplicando los consejos habituales para protegerse del ransomware. En este video se detalla más información al respecto:

Y en caso de que se produzca una infección, lo mejor es recurrir a las copias de backup que se hayan realizado, por lo cual es importante mantener una periodicidad.

Sigue leyendo: Todo sobre ransomware – guía básica y preguntas frecuentes

Créditos imagen: ©Dave Mathis/Flickr

Autor , ESET

  • Gerardo Mendez

    gracias por compartir excelente video. muy fácil de digerir.

    • Qué bueno que te guste, Gerardo :)

    • Rumor

      Si, estaba delicioso!

  • Quien se iba a imaginar que locky andaria por Guatemala… dificil no creerlo…

  • Octavio Guevara

    tambien esta en Nicaragua, ya recibimos el primer ataque

  • Luis Esteban

    Aquí en México igual.
    Hace unas horas se nos infectaron 3 máquinas :(

  • Pedro Rioja

    Ni que decir, también esta en Bolivia!
    alguna solución para equipos infectados?

  • Llumbaa

    Hola buenas noches, mi consulta es: Si una PC esta infecta y esta PC usa archivos compartidos de otras PC o servidores tambien se infectan estos equipos. Gracias por su respuesta

    • Camilo Gutierrez

      Que tal Llumbaa; las variantes de Locky también cifran los archivos de unidades de red compartidas que estén mapeadas en el equipo. De hecho no es la única familia de FileCoder que tienen este comportamiento, de ahí lo complejo de estas amenazas y lo importante de contar con un backup probado y aislado de la red.

  • Theangleo2

    Argentina – Cordoba Capital tambien!

  • Randall Valdelomar

    Buenas,muchas gracias por la informacion.
    Quisiera consultarle si hay algun metodo de filtar estos correos , ya que me parece que no es identificado como un spam, ya que me llega a bandeja de entrada en outlook
    el antivirus puede llegar a identificarlo y detenerlo ?
    Muchas gracias

    • Hola Randall,
      Las soluciones de ESET detectan a Locky como Win32/Filecoder.Locky.
      ¡Saludos!

Síguenos

Últimos Cursos