locky

Locky, una amenaza que secuestra tus archivos

Locky se presenta como una ciber amenaza que ya ha infectado a 40.000 dispositivos. Los países más afectados son Alemania, Estados Unidos, España, Francia, Japón, Canadá y Australia.

CÓMO FUNCIONA LOCKY

Todo comienza cuando un usuario recibe un correo electrónico que contiene un archivo adjunto de cualquier documento de Microsoft que pueda contener macros.

Una vez abierto, sugiere al usuario habilitar las macros para poder visualizar el archivo, que dice ser una factura o un pago de remisión normalmente. Si acepta, comenzará a descargar el ransomware Locky en la carpeta temporal del usuario activo identificado como “ransomware.locky”. Como parte final de la infección, este cifra todo el contenido del sistema, dejando las instrucciones o pasos a seguir para recuperar los archivos infectados en un archivo llamado “_Locky_recover_instructions.txt”. Recientemente también se han encontrado algunas variantes de este virus que puede llegar a través de cualquier tipo de fichero con código incrustado, como archivos javascript (.JS) o ejecutables del sistema (:EXE, .SH …), entre otros, a su vez estos pueden llegar en un archivo comprimido (.ZIP) y dentro localizarse dicho archivo malicioso.delitos-digitales-policia

Locky no sólo encripta todo el contenido del sistema infectado, sino que viaja a través de toda la red a la que tenga acceso, bien sea por carpetas compartidas, unidades de red, mapeadas o no, y siempre y cuando tenga permisos para entrar, dependerá desde que usuario se ejecutó el virus y los permisos que tuviese dicho usuario en el sistema. La encriptación en cada uno de los casos es única, normalmente el fin de este virus es pagar un rescate que va desde 300€ hasta casos de 8.000€ para poder recuperar tus datos.

RECOMENDACIONES PARA EVITAR SER INFECTADO POR LOCKY O SIMILARES

  1. Tener siempre una copia de seguridad de todo el sistema. La ubicación de las copias de seguridad deberán estar fuera de la red de los equipos o en un lugar seguro con permisos muy limitados para el personal.
  2. Limitar el “permiso” a los usuarios para que si no es estrictamente necesario cada usuario pueda acceder a las herramientas que vaya a utilizar.
  3. La instalación de un antivirus que contenga anti-malware. Nosotros recomendamos “malwarebytes-anti-malware” : https://es.malwarebytes.org/

EN CASO DE SER INFECTADO POR LOCKY

¡¡No lo piense!! Desconecte el cable de red de su equipo y el de todos los equipos conectados. Corte la conexión de internet de los servidores conectados o que se tenga acceso a través de unidades de red desde cualquier equipo. Recuerde que locky viaja por la red ó cualquier unidad de acceso mapeada o no. Y por supuesto apague todos los equipos y servidores.

Sin título

Una vez que todo este parado, empiece a hacer búsquedas con el anti-malware recomendado y los antivirus que tenga instalados. Es de vital importancia encontrar el origen del ordenador infectado, ya que locky no se propaga él mismo, sino que solo infecta un equipo y encripta todo a lo que tiene acceso. Lo normal es que el virus sea encontrado con el nombre de “ransomware.locky”. Una vez localizado el virus elimínelo, también se recomienda formatear la máquina que contiene el origen del virus. Los ficheros tipo “5452353.locky” salvo que esté interesado en pagar el rescate de sus ficheros, puede borrarlos, ya que ahora no tendrán ninguna utilidad.

Una vez que el virus y los ficheros residuales han sido eliminados, es hora de proceder a restaurar las copias de seguridad.

Tal vez pueda interesarte: Experto en Peritaje y Auditoría Informática

Los delitos informático es España se han incrementado en un 71% a lo largo del año pasado. Prepárese para actuar como Perito Judicial Informático ante los juzgados así como para realizar la auditoría correspondiente y emitir el preceptivo informe. Más información.

Deja un comentario