Locky: El Virus que secuestra tus archivos.

Locky actualmente está siendo distribuido a través de correo electrónico que contiene archivos adjuntos de documento de Word con macros maliciosos. El mensaje de correo electrónico contendrá un objeto similar a:

Atención: Factura J-98223146 y un mensaje del tipo “(Documento de Microsoft Word) Por favor, vea la factura adjunta y remita el pago según los términos que figuran en la parte inferior de la factura”. Un ejemplo de uno de estos mensajes de correo electrónico se puede ver a continuación.

Locky: El Virus que secuestra tus archivos.

Se adjunta a estos mensajes de correo electrónico un documento de Word malicioso que contiene un nombre similar a invoice_J-17105013.doc. Cuando se abre el documento, el texto será ilegible y en el documento se mostrará un mensaje que indicará que se debe habilitar las macros si el texto es ilegible.

virus

Una vez que una víctima active las macros, las macros descargaran un archivo ejecutable desde un servidor remoto para luego ejecutarlo.
El archivo que se descarga por la macro se almacena en la carpeta% Temp% y será ejecutado. Este ejecutable es el ransomware Locky que cuando se ejecuta comenzará a cifrar los archivos en su computadora.

Este ransomware, cifra los datos utilizando el cifrado AES y luego exige 0.5 bitcoins para descifrar los archivos. Se dirige a una gran cantidad de extensiones de archivos y aún más importante, cifra los datos en unidades de red sin asignar.

ransomware

Locky encripta sus datos y cambia por completo los nombres de los archivos

Cuando se inicia Locky se creará y asignará un único número de 16 caracteres hexadecimales de la víctima y se verá como F67091F1D24A922B. Locky revisará entonces todas las unidades locales y recursos compartidos de red sin asignar para cifrar los archivos de datos. Durante el cifrado de archivos se utilizará el algoritmo de cifrado AES y sólo cifrará los archivos que coincidan con las siguientes extensiones:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Por otra parte, Locky se saltará cualquier archivo en la ruta completa de acceso si el nombre contiene una de las siguientes cadenas:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

Cuando Locky  cifra un archivo cambiará el nombre del archivo como [id_exclusivo] .locky formato [identificador ]. Así que cuando se encripta un archivo llamado test.jpg sería renombrado a algo así como F67091F1D24A922B1A7FC27E19A9D9BC.locky. El identificador único y otra información también estarán incluidas al final del archivo encriptado.

Es importante hacer hincapié en que Locky cifrará archivos en recursos compartidos de red, incluso cuando no se asignan a una unidad local. Como se predijo, esto se está convirtiendo cada vez más común y todos los administradores de sistemas deben bloquear toda la red compartida abierta a los permisos más bajos posibles.

Como parte del proceso de cifrado, Locky, también borrará todos los backus del volumen en la máquina de manera que no se pueden utilizar para restaurar los archivos de la víctima. Locky lo hace mediante la ejecución del siguiente comando:

vssadmin.exe Delete Shadows /All /Quiet

En el escritorio de Windows y en cada carpeta en la que se ha cifrado un archivo, Locky creará notas de rescate llamados _Locky_recover_instructions.txt., png y html

Esta nota de rescate contiene información acerca de lo sucedido a los archivos y añade enlaces para la víctima para que acceda a la página web del descifrador.

La página web Locky Decrypter

Dentro de las notas de rescate de Locky los enlaces dirigen a un sitio llamado Tor Locky Decrypter. Esta página se encuentra en 6dtxgqam4crv6rr6.onion y contiene la cantidad de bitcoins para enviar como pago, de cómo comprar los bitcoins, y la dirección bitcoin que se debe enviar para el pago. Una vez que una víctima envía el pago a la dirección bitcoin asignado, esta página promete un descifrador que se puede utilizar para descifrar sus archivos de la cual nunca pero nunca llega.

secuestra archivos

Aporte del usuario @tutti39

hola yo trabajo para una empresa de informática y cada vez son mas las empresas que están afectadas, les cuento que el mail que tiene el virus cambia todo el tiempo, puede ser en ingles o en cualquier idioma por eso es tan fácil de que se contagie la maquina, hay un programa que se llama HitmanPro Alert 3.7.13 Build 257 y lo estamos usando por recomendación a la pagina que están luchando contra este virus, los antivirus los detectan tarde pero lo mismo llegan a frenarlo para que sea menos el daño, lo mismo si se de algo mas se los comento.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: