Cabecera-v2-web.jpg

Campaña de distribución del ransomware Locky en el paí­s


En los últimos dí­as se ha observado una campaña de distribución de una variante de ransomware llamada Locky, a través de correos electrónicos maliciosos, que está afectando mayormente a nuestro paí­s. Se trata de una nueva variante de ransomware, probablemente relacionada a la botnet Dridex.

El ransomware es un tipo de software malicioso (malware) que infecta un dispositivo y restringe el acceso al mismo, en la mayorí­a de los casos, encriptando documentos personales hasta que la ví­ctima pague un "rescate" exigido por el malware para desencriptarlos.

Si bien, el Ransomware se puede transmitir de diversas formas, hemos observado una campaña de distribución especí­fica a través de correo electrónico. Los correos electrónicos contienen un archivo adjunto comprimido .zip, con diferentes nombres, por ejemplo: Info.zip, Document9.zip, etc. Estos archivos adjuntos contienen un archivo javascript (*.js) que al ser abiertos se ejecutan de forma automática y descargan, ejecutan e instalan el ransomware Locky.
Se ha observado que esta campaña de correo está siendo enviada a ciudadanos paraguayos de diversas industrias: gobierno, educativo, empresas de tecnologí­a, PYMES, etc.

Captura.JPG

Al quedar infectado por Locky, el ransomware inmediatamente encripta y renombra todos los archivos y le agrega la extensión .locky.

A diferencia de otros ransomware que solo encriptan los tipos de archivos más conocidos, Locky se caracteriza por encriptar 164 tipos de archivo, pudiendo afectar a prácticamente cualquier archivo de la computadora. También puede cifrar los archivos de aquellos directorios compartidos en red a los que el equipo tiene acceso.

Luego de encriptar todos los archivos, el ransomware se elimina a sí­ mismo del equipo infectado.

locky_recover.jpg


Para proceder al pago, se indican unas URLs en pantalla, con instrucciones especí­ficas para la ví­ctima infectada. Algunas de las URLs pertenecen a la red Tor. El rescate exigido es 3 Bitcoins, aproximadamente 1200 US$.

Locky también intenta borrar todas las instantáneas de recuperación (Shadow Volume Copies) en la máquina infectada, de manera que no se pueden utilizar para restaurar los archivos de la ví­ctima.

El ransomware Locky encripta los archivos usando estándares de encriptación robusta (RSA-2048 + AES-128 en modo ECB), la cual no es reversible, por lo tanto lleva a una pérdida de los archivos.

Hasta el momento no existen mecanismos para desencriptar los archivos sin la clave que está en poder de los atacantes. Sin embargo, siempre es posible que en un futuro se encontrara una solución. Es por eso que se recomienda no eliminar los archivos encriptados, sino guardarlos.

Es por esto que las acciones preventivas son fundamentales:

  • No abrir nunca correos sospechosos, tanto si vienen de usuarios conocidos como desconocidos. Asegurarse siempre de que la persona que le ha enviado el correo realmente le querí­a remitir ese adjunto.
  • Evitar abrir los archivos adjuntos sospechosos. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un virus, por lo que es mejor ser precavido.
  • No ingresar a enlaces dudosos que le son enviados a través de correo electrónico, servicios de mensajerí­a, redes sociales, etc.
  • Realizar copias de seguridad (backup) de toda la información crí­tica para limitar el impacto de la pérdida de datos o del sistema y para facilitar el proceso de recuperación. Idealmente, estos datos se debe mantener en un dispositivo independiente, y las copias de seguridad se deben almacenar offline.
  • Contar con soluciones de antivirus/firewall y mantenerlo actualizado, de modo a prevenir la infección.
  • Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
  • No acceder nunca a ningún pago u acción exigida por el atacante.

En caso de recibir un correo electrónico con las caracterí­sticas mencionadas en este boletí­n, recomendamos no abrirlo y dar aviso a un responsable de su organización.

En caso de ví­ctima de ransomware se recomienda realizar la denuncia a los organismos correspondientes; puede reportarlo al Centro de respuestas ante Incidentes Cibernéticos (CERT-PY).


Información adicional:

https://cert.gov.py/application/files/6014/5830...



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11