Seguridad Contra software maligno Ransomware Locky
Seguridad Contra software maligno Ransomware Locky
Qué es un Ransomware
Es un tipo de malware o software malicioso que perjudica a la computadora, evitando o limitando el acceso de los usuarios a sus sistemas e información; forzando a la víctima a pagar un rescate a través de un método de pago en línea, con la finalidad de obtener el acceso a su sistema o que les sea devuelta su información.
Algunos tipos de este malware cifran los archivos importantes del usuario y otros utilizan un servicio llamado TOR (The Onion Router), para ocultar comunicaciones de C&C (Command and Control), mediante las cuales toman el control del equipo comprometido desde sus servidores.
Las sumas demandadas varían mucho, y puede ser exigido en dólares americanos, euros, entre otras unidades monetarias o incluso en su equivalente en Bitcoins (moneda electrónica).
Nota: Es importante señalar que aun pagando la cantidad solicitada, no hay garantía de que el acceso a la información sea devuelto.
Virus Locky
Este virus es una variante de ransomware que cifra los archivos del usuario, y que se ha propagado rápidamente desde su aparición a mediados de febrero de este año. El mayor riesgo radica en la fortaleza de su cifrado y principalmente en las campañas masivas de spam, así como los sitios comprometidos que se utilizan para su propagación.
Como rasgo distintivo, locky cifra los archivos del usuario y les agrega la extensión .locky
Cómo se propaga el virus
El vector de propagación e infección de este malware es vía correo electrónico (spam), en el que se incluye un archivo malicioso en formato de un documento de Microsoft® Office, el cual contiene una macro diseñada para descargar el malware desde internet. El archivo malicioso puede ser un documento de Word® (archivo .doc o .docx) o de Excel® (archivos .xls o .xlsx). La intención es hacer creer al usuario que el correo contiene un documento importante para que este sea descargado; al hacerlo se pide habilitar las macros para ver el contenido del archivo y al ejecutar las macros, el equipo queda infectado.
Otra forma de propagación es a través de sitios comprometidos o en control de los atacantes, desde los cuales un usuario puede contaminarse de forma inadvertida al navegar por dicho sitio o descargar algún archivo.
Características y síntomas
- Locky pertenece a la familia de Ransomware, que cifra los archivos del usuario que estén a su alcance en el sistema y demanda el pago de un rescate para recuperarlos.
- El contenido de los archivos originales es cifrado usando un algoritmo RSA-2048 y AES-1024. Los archivos afectados modifican su nombre por un archivo alfanumérico con una extensión .locky.
- Mientras se ejecuta, Locky se copia a sí mismo dentro del folder %temp% con un nombre aleatorio con extensión ".exe".
- Agrega una entrada al registro "Run" con un valor de nombre "Locky".
- Elimina las instantáneas "Shadow copies" del sistema, de esta forma evita que el usuario pueda restaurar los archivos cifrados.
- Puede cifrar archivos con extensiones: .asm, .c, .cpp, .h, .png, txt, .cs, .gif, .jpg, .rtf, .xml, .zip, .asc, .pdf, .rar, .bat, .mpeg, .qcow2, .vmdk .tar.bz2, .djvu, .jpeg, .tiff, .class, .java, .SQLITEDB, .SQLITE3, .lay6, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .potx, .potm, .pptx, .pptm, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .dotm, .dotx, .docm, .docx, wallet.dat, entre otras.
- Cambia el papel tapiz del escritorio y despliega una imagen y un texto con las instrucciones para pagar el rescate y recuperar la información.
Nota: Cualquier tipo de archivo del equipo, puede ser infectado por el virus independientemente de su ubicación y dependiendo de los archivos afectados, serán las situaciones que se pueden presentar.
Cómo se propaga el virus
El vector de propagación e infección de este malware es vía correo electrónico (spam), en el que se incluye un archivo malicioso en formato de un documento de Microsoft® Office, el cual contiene una macro diseñada para descargar el malware desde internet.
El archivo malicioso puede ser un documento de Word® (archivo .doc o .docx) o de Excel® (archivos .xls o .xlsx). La intención es hacer creer al usuario que el correo contiene un documento importante para que este sea descargado; al hacerlo se pide habilitar las macros para ver el contenido del archivo y al ejecutar las macros, el equipo queda infectado.
Otra forma de propagación es a través de sitios comprometidos o en control de los atacantes, desde los cuales un usuario puede contaminarse de forma inadvertida al navegar por dicho sitio o descargar algún archivo.
Mecanismo de reinicio del malware
La siguiente llave de registro se agrega para que el malware sea habilitado cada vez que se inicia Windows®.
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run “Locky" = “%TEMP%\.exe”
Una vez que el malware ha terminado de cifrar los archivos, se elimina a si mismo y elimina la entrada del registro.
Cómo se lleva a cabo el secuestro
1. Locky llega al equipo.
2. Bloquea la pantalla.
3. Elimina las instantáneas de Windows® (Shadow copies), evitando que el usuario pueda restaurar desde el respaldo del sistema, los archivos que han sido cifrados.
4. Encuentra y cifra ciertos archivos.
a. Se conecta con los servidores de los atacantes para descargar la clave para el cifrado.
b. Busca archivos relacionados con la productividad como .doc, .xls, pdf, entre otros.
c. Genera una llave por cada archivo y los cifra.
d. Escribe la llave cifrada al inicio de todos los archivos.
5. Despliega la nota del rescate.
a. La víctima recibe una nota de rescate con instrucciones sobre cómo realizar el pago a través de Bitcoin u otro método de pago.
b. La víctima realiza el pago por el método indicado al atacante.
c. La víctima envía la prueba del pago.
d. Una vez completada la transacción, el atacante envía las instrucciones para descifrar la información.
¡Es importante resaltar que aun realizando el pago solicitado, no hay garantía de que el usuario recupere la información!
Qué hacer si tu equipo está infectado
Si te das cuenta que tu equipo está infectado por Ransomware probablemente ya sea demasiado tarde para hacer algo en tu equipo, por eso es mejor prevenir con los puntos que se mencionan en esta nota técnica.
La atención debe enfocarse en asegurar otros equipos de la red, para ello se recomienda aislar el equipo infectado desconectándolo de la red cableada, inalámbrica, etcétera. No conectar teléfonos ni otro tipo de dispositivos ya que podrían verse comprometidos.
Existen algunas opciones para intentar recuperar tus archivos cifrados, sin embargo es recomendable que este proceso lo realice alguien con experiencia para evitar causar más daños a tu sistema o incluso la pérdida total de tus datos, además que este tipo de amenazas evoluciona con el tiempo y las soluciones de hoy podrían no funcionar mañana.
Para este fin suelen existir herramientas especializadas en la remoción de malware específico, las cuales se pueden localizar en una búsqueda en internet, teniendo las respectivas consideraciones de seguridad, por ejemplo buscando "cryptolocker removal tool" o "locky removal tool" suelen arrojar resultados viables de empresas con renombre en seguridad.
Los siguientes pasos proponen una pauta general, para realizar la desinfección de un equipo comprometido manualmente:
En caso que lo anterior falle, se debe estar preparado para reinstalar el sistema operativo y las aplicaciones.
Cómo descifrar y restaurar archivos .locky
En caso que lo anterior falle, se debe estar preparado para reinstalar el sistema operativo y las aplicaciones.
Aclaración: Las versiones anteriores, provienen de puntos de restauración o copias de seguridad de Windows®, es necesario haberlos habilitado como medida preventiva (antes del cifrado); sin embargo este proceso puede que no siempre sea una solución, pues el virus podría detectar esta información y en dicho caso también la eliminaría.
En caso de que no se muestre la pestaña Versiones anteriores:
1.-Ve a la opción Ejecutar y escribe: \\localhost\c$
2.-Presiona el botón Aceptar
3.-Se desplegará el explorador de Windows®
4.-Selecciona la carpeta o archivo deseado
5.-Observa que ya se muestra la pestaña Versiones anteriores
Puedes cambiar c$ por la unidad donde se encuentren tus datos.
Importante: La configuración puede variar de un sistema operativo a otro; para obtener mayor información consulta la ayuda de Windows®.
Cómo activar la protección del sistema y versiones anteriores en tu equipo
1.- Haz clic derecho en Equipo y selecciona Propiedades.
2.- Presiona el botón de Configuración avanzada del sistema e ingresa a la pestaña Protección del sistema.
3.- Selecciona el botón Configurar.
4.- Habilita la opción Activar protección de sistema y ajusta el espacio máximo en disco que se utilizará para la protección.
5.- Presiona el botón Crear y genera los puntos de restauración para tus unidades.
6.- Acepta los cambios, para finalizar la configuración.
Cómo protegerte de Ransomware
Recomendación primordial
La principal recomendación es nunca abrir: archivos, links o páginas web, que no sean de confianza absoluta, pues para este tipo de virus lo preferible es evitarlos; debido a que ninguna recomendación garantiza la solución a los problemas que estos generan.
Si recibes correos con este tipo de información, de dudosa procedencia, que no los hayas pedido, que parezcan raros o sospechosos; utiliza tu sentido común y elimínalos de inmediato sin abrirlos y así evitarás las consecuencias de los mismos.
Recomendaciones generales
Una forma de evitar pérdidas debido al secuestro de archivos es estar preparado.
Fuente: http://soporte-contpaqi.com/