Seguridad Contra software maligno Ransomware Locky

PDFImprimirE-mail Escrito por Administrator Lunes, 04 de Abril de 2016 16:17

Seguridad Contra software maligno Ransomware  Locky

 

 

Qué es un Ransomware


Es un tipo de malware o software malicioso que perjudica a la computadora, evitando o limitando el acceso de los usuarios a sus sistemas e información; forzando a la víctima a pagar un rescate a través de un método de pago en línea, con la finalidad de obtener el acceso a su sistema o que les sea devuelta su información.

 

 

Algunos tipos de este malware cifran los archivos importantes del usuario y otros utilizan un servicio llamado TOR (The Onion Router), para ocultar comunicaciones de C&C (Command and Control), mediante las cuales toman el control del equipo comprometido desde sus servidores.

Las sumas demandadas varían mucho, y puede ser exigido en dólares americanos, euros, entre otras unidades monetarias o incluso en su equivalente en Bitcoins (moneda electrónica).

Nota: Es importante señalar que aun pagando la cantidad solicitada, no hay garantía de que el acceso a la información sea devuelto.


Virus Locky


Este virus es una variante de ransomware que cifra los archivos del usuario, y que se ha propagado rápidamente desde su aparición a mediados de febrero de este año. El mayor riesgo radica en la fortaleza de su cifrado y principalmente en las campañas masivas de spam, así como los sitios comprometidos que se utilizan para su propagación.  

Como rasgo distintivo, locky  cifra los archivos del usuario y les agrega la extensión .locky


Cómo se propaga el virus


El vector de propagación e infección de este malware es vía correo electrónico (spam), en el que se incluye un archivo malicioso en formato de un documento de Microsoft® Office, el cual contiene una macro diseñada para descargar el malware desde internet. El archivo malicioso puede ser un documento de Word® (archivo .doc o .docx) o de Excel® (archivos .xls o .xlsx). La intención es hacer creer al usuario que el correo contiene un documento importante para que este sea descargado; al hacerlo se pide habilitar las macros para ver el contenido del archivo y al ejecutar las macros, el equipo queda infectado.

Otra forma de propagación es a través de sitios comprometidos o en control de los atacantes, desde los cuales un usuario puede contaminarse de forma inadvertida al navegar por dicho sitio o descargar algún archivo.


Características y síntomas


- Locky pertenece a la familia de Ransomware, que cifra los archivos del usuario que estén a su alcance en el sistema y demanda el pago de un rescate para recuperarlos.

- El contenido de los archivos originales es cifrado usando un algoritmo RSA-2048 y AES-1024. Los archivos afectados modifican su nombre por un archivo alfanumérico con una extensión .locky.

- Mientras se ejecuta, Locky se copia a sí mismo dentro del folder %temp% con un nombre aleatorio con extensión ".exe".

- Agrega una entrada al registro "Run" con un valor de nombre "Locky".

- Elimina las instantáneas "Shadow copies" del sistema, de esta forma evita que el usuario pueda restaurar los archivos cifrados.

- Puede cifrar archivos con extensiones: .asm, .c, .cpp, .h, .png, txt, .cs, .gif, .jpg, .rtf, .xml, .zip, .asc, .pdf, .rar, .bat, .mpeg, .qcow2, .vmdk .tar.bz2, .djvu, .jpeg, .tiff, .class, .java, .SQLITEDB, .SQLITE3, .lay6, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .potx, .potm, .pptx, .pptm, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .dotm, .dotx, .docm, .docx, wallet.dat, entre otras.

- Cambia el papel tapiz del escritorio y despliega una imagen y un texto con las instrucciones para pagar el rescate y recuperar la información.

Nota: Cualquier tipo de archivo del equipo, puede ser infectado por el virus independientemente de su ubicación y dependiendo de los archivos afectados, serán las situaciones que se pueden presentar.


Cómo se propaga el virus


El vector de propagación e infección de este malware es vía correo electrónico (spam), en el que se incluye un archivo malicioso en formato de un documento de Microsoft® Office, el cual contiene una macro diseñada para descargar el malware desde internet.

El archivo malicioso puede ser un documento de Word® (archivo .doc o .docx) o de Excel® (archivos .xls o .xlsx). La intención es hacer creer al usuario que el correo contiene un documento importante para que este sea descargado; al hacerlo se pide habilitar las macros para ver el contenido del archivo y al ejecutar las macros, el equipo queda infectado.

Otra forma de propagación es a través de sitios comprometidos o en control de los atacantes, desde los cuales un usuario puede contaminarse de forma inadvertida al navegar por dicho sitio o descargar algún archivo.


Mecanismo de reinicio del malware


La siguiente llave de registro se agrega para que el malware sea habilitado cada vez que se inicia Windows®.

HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run “Locky" = “%TEMP%\.exe”


Una vez que el malware ha terminado de cifrar los archivos, se elimina a si mismo y elimina la entrada del registro.


Cómo se lleva a cabo el secuestro


1. Locky  llega al equipo.

2. Bloquea la pantalla.

3. Elimina las instantáneas de Windows® (Shadow copies), evitando que el usuario pueda restaurar desde el respaldo del sistema, los archivos que han sido cifrados.

4. Encuentra y cifra ciertos archivos.
a. Se conecta con los servidores de los atacantes para descargar la clave para el cifrado.
b. Busca archivos relacionados con la productividad como .doc, .xls, pdf, entre otros.
c. Genera una llave por cada archivo y los cifra.
d. Escribe la llave cifrada al inicio de todos los archivos.

5. Despliega la nota del rescate.
a. La víctima recibe una nota de rescate con instrucciones sobre cómo realizar el pago a través de Bitcoin u otro método de pago.
b. La víctima realiza el pago por el método indicado al atacante.
c. La víctima envía la prueba del pago.
d. Una vez completada la transacción, el atacante envía las instrucciones para descifrar la información.

¡Es importante resaltar que aun realizando el pago solicitado, no hay garantía de que el usuario recupere la información!


Qué hacer si tu equipo está infectado


Si te das cuenta que tu equipo está infectado por Ransomware probablemente ya sea demasiado tarde para hacer algo en tu equipo, por eso es mejor prevenir con los puntos que se mencionan en esta nota técnica.


La atención debe enfocarse en asegurar otros equipos de la red, para ello se recomienda aislar el equipo infectado desconectándolo de la red cableada, inalámbrica, etcétera. No conectar teléfonos ni otro tipo de dispositivos ya que podrían verse comprometidos.

Existen algunas opciones para intentar recuperar tus archivos cifrados, sin embargo es recomendable que este proceso lo realice alguien con experiencia para evitar causar más daños a tu sistema o incluso la pérdida total de tus datos, además que este tipo de amenazas evoluciona con el tiempo y las soluciones de hoy podrían no funcionar mañana.

Para este fin suelen existir herramientas especializadas en la remoción de malware específico, las cuales se pueden localizar en una búsqueda en internet, teniendo las respectivas consideraciones de seguridad, por ejemplo buscando "cryptolocker removal tool" o "locky removal tool" suelen arrojar resultados viables de empresas con renombre en seguridad.

Los siguientes pasos proponen una pauta general, para realizar la desinfección de un equipo comprometido manualmente:




 

En caso que lo anterior falle, se debe estar preparado para reinstalar el sistema operativo y las aplicaciones.


Cómo descifrar y restaurar archivos .locky


En caso que lo anterior falle, se debe estar preparado para reinstalar el sistema operativo y las aplicaciones.



Aclaración: Las versiones anteriores, provienen de puntos de restauración o copias de seguridad de Windows®, es necesario haberlos habilitado como medida preventiva (antes del cifrado); sin embargo este proceso puede que no siempre sea una solución, pues el virus podría detectar esta información y en dicho caso también la eliminaría.  

En caso de que no se muestre la pestaña Versiones anteriores:

1.-Ve a la opción Ejecutar y escribe: \\localhost\c$
2.-Presiona el botón Aceptar
3.-Se desplegará el explorador de Windows®
4.-Selecciona la carpeta o archivo deseado
5.-Observa que ya se muestra la pestaña Versiones anteriores



Puedes cambiar c$ por la unidad donde se encuentren tus datos.

Importante: La configuración puede variar de un sistema operativo a otro; para obtener mayor información consulta la ayuda de Windows®.


Cómo activar la protección del sistema y versiones anteriores en tu equipo


1.- Haz clic derecho en Equipo y selecciona Propiedades.
2.- Presiona el botón de Configuración avanzada del sistema e ingresa a la pestaña Protección del sistema.
3.- Selecciona el botón Configurar.
4.- Habilita la opción Activar protección de sistema y ajusta el espacio máximo en disco que se utilizará para la protección.
5.- Presiona el botón Crear y genera los puntos de restauración para tus unidades.
6.- Acepta los cambios, para finalizar la configuración.


Cómo protegerte de Ransomware


Recomendación primordial

La principal recomendación es nunca abrir: archivos, links o páginas web, que no sean de confianza absoluta, pues para este tipo de virus lo preferible es evitarlos; debido a  que ninguna recomendación garantiza la solución a los problemas que estos generan.

Si recibes correos con este tipo de información, de dudosa procedencia, que no los hayas pedido, que parezcan raros o sospechosos; utiliza tu sentido común y elimínalos de inmediato sin abrirlos y así evitarás las consecuencias de los mismos.

Recomendaciones generales

Una forma de evitar pérdidas debido al secuestro de archivos es estar preparado.


Fuente: http://soporte-contpaqi.com/






 

Última actualización el Lunes, 04 de Abril de 2016 17:01

Escribir un comentario


Código de seguridad
Refescar

Registrate a Seminarios

Capacitacion Contpai actualisat.com

 

Descarga AnyDesk


Descarga TeamViewer


Registrate a Seminarios

Capacitacion Contpai actualisat.com

TELÉFONOS

Cd de México

(01 55) 8421 7136

Cd de Monterrey

(01 81) 8421 3236

Cd de Guadalajara

(01 33) 8421 4236

Cd de Puebla

(01 22) 2690 3516

Cd de Toluca

(01 722) 213 5136

[email protected]

CONTACTO

Correo
Nombre
Teléfono con LADA
Empresa
Mensaje
Código de Seguridadwmkgbuod
 
   
 

Aviso de Privacidad

AVISO DE PRIVACIDAD ACTUALISAT y/o ABDEL YASID LARIOS CADENA., en lo subsiguiente ACTUALISAT®, con domicilio en la calle Hidaldo Pte. No. 500 Int. B, en la Colonia Centro, en la Ciudad de Toluca, Estado de México, C.P. 50000, es responsable del tratamiento de sus datos personales.

LEER MAS...