“Locky” ransomware: Lo que usted necesita saber

"Locky" se siente como un buen nombre que suena alegre.

Pero también es el apodo de una nueva cepa de ransomware, así llamado porque se cambia el nombre de todos sus archivos importantes para que tengan la extensión .locky.

Por supuesto, no se limita a cambiar el nombre de los archivos, se les revuelve primero, y – como es probable que saber acerca de ransomware – sólo los ladrones tienen la clave de descifrado.

Se puede comprar la clave de descifrado de los ladrones a través de la llamada web oscura.

Los precios que hemos visto varían de 0,5 a BTC BTC 1,00 (BTC es la abreviatura de "bitcoin", donde uno Bitcoin es actualmente un valor aproximado de $ 400 / £ 280).

La forma más común que llega Locky es el siguiente:

  • Recibirá un correo electrónico con un documento adjunto (Troj / DocDl-BCF).
  • El documento parece un galimatías.
  • El documento informa que habilite las macros "si la codificación de datos es incorrecto."
  • Si habilita las macros, que en realidad no codificación de texto correcto; en cambio, se permite código dentro del documento para guardar un archivo en el disco y tratar de ejecutarlo.
  • El archivo guardado (Troj / Ransom-CGX) sirve como un programa de descarga, que obtiene la carga útil de malware final a partir de los ladrones.
  • La carga útil final podría ser cualquier cosa, pero en este caso es por lo general el Locky ransomware (Troj / Ransom-CGW).

Locky codifica todos los archivos que coinciden con una larga lista de extensiones, incluyendo vídeos, imágenes, código fuente y los archivos de Office.

Locky incluso revuelve wallet.dat, su archivo cartera Bitcoin, si tiene uno.

En otras palabras, si usted tiene más BTC en su cartera que el costo del rescate, y ninguna copia de seguridad, es muy probable que pagar. (Y ya sabrá cómo comprar nuevos bitcoins, y la forma de pago con ellos.)

Locky también elimina todos los archivos Volume Snapshot Service (VSS), también conocidas como las instantáneas, que pueden haber hecho.

Las instantáneas son la forma de Windows de hacer instantáneas de copia de seguridad "en vivo" sin parar de trabajo – que no es necesario cerrar la sesión o incluso cerrar sus aplicaciones primero – por lo que son una forma popular de hacer copias de seguridad "atajo" que puede restaurar fácilmente .

Una vez Locky está listo para golpear que para el rescate, se asegura de que aparezca el siguiente mensaje al cambiar tu fondo de escritorio:

Si visita la página web oscura que figura en el mensaje de advertencia, a continuación, recibirá las instrucciones de pago que mostramos arriba.

Por desgracia, en lo que podemos decir, no hay atajos fáciles de recuperar los datos si no tiene una copia de seguridad reciente.

Recuerde, también, que al igual que la mayoría de ransomware, Locky no acaba de codificar su unidad C:.

Se revuelve cualquier archivo en cualquier directorio en cualquier unidad montada que puede acceder, incluyendo las unidades extraíbles que están conectados en ese momento, o partes de la red que son accesibles, incluyendo servidores y otros equipos de la gente, ya sea que se ejecutan en Windows, OS X o Linux.

Si ha iniciado sesión como administrador de dominio y usted es golpeado por ransomware, usted podría hacer un daño muy extendida en verdad.

Darse por adelantado todo el poder de acceso que jamás puede ser que necesite es muy conveniente, pero por favor no lo haga – única entrada (o utilizar Ejecutar como ...) con poderes de administrador cuando realmente los necesita, y renunciar a esos poderes tan pronto como no lo hace.

¿QUÉ HACER?

  • Copia de seguridad con regularidad y mantener una copia de seguridad reciente fuera de las instalaciones. Hay docenas de maneras distintas de ransomware que los archivos pueden desaparecer repentinamente, tales como incendios, inundaciones, robos, un ordenador portátil caído o incluso un borrado accidental docenas. Cifrar la copia de seguridad y que no tendrá que preocuparse por el dispositivo de copia de seguridad de caer en las manos equivocadas.
  • No habilitar las macros en documentos adjuntos recibidos a través de correo electrónico. Microsoft deliberadamente apagado automático ejecución de macros de forma predeterminada hace muchos años como medida de seguridad. Una gran cantidad de infecciones de malware confían en persuadir a convertir las macros de nuevo, así que no lo haga!
  • Sea cauteloso sobre los archivos adjuntos no solicitados. Los ladrones están confiando en el dilema que no se debe abrir un documento hasta que esté seguro de que es uno que quiere, pero no se puede decir si es que usted quiere hasta que lo abra. En caso de duda, dejarlo fuera.
  • No se aplique más energía de la que necesita de inicio de sesión. Lo más importante, no permanece conectado como administrador por más tiempo de lo que es estrictamente necesario, y evitar la navegación, la apertura de documentos u otras actividades de "trabajo normal", mientras que tiene derechos de administrador.
  • Considere la instalación de los espectadores de Microsoft Office. Estas aplicaciones de visualización le permiten ver lo que los documentos parecen sin necesidad de abrirlos en Word o Excel sí mismo. En particular, el software de visualización no admite macros en absoluto, por lo que no puede habilitar las macros por error!
  • Parche temprana, a menudo parche. El malware que no viene a través de las macros del documento suele aprovecharse de los errores de seguridad en las aplicaciones más conocidas, como Office, el navegador, Flash y más. Cuanto antes se patch, el menor número de agujeros abiertos siguen siendo para los delincuentes para aprovechar.