Cabecera-v2-web.jpg

La nueva versión del ransomware Locky no funciona correctamente


El ransomware es el malware más peligroso con el que nos podemos encontrar. A diferencia de los troyanos, que buscan robar datos de las ví­ctimas, o los virus como tal que solo buscan causar un mal funcionamiento del equipo, este nuevo tipo de malware ataca directamente lo más valioso de los usuarios, sus datos personales, los cifra y pide el pago de un rescate a cambio de la clave para recuperarlos. Existen muchas variantes de ransomware diferentes, pero una de las más conocidas y peligrosas es Locky, también conocida como Zepto.

ransomware-locky-cifrado.jpg

Los responsables del ransomware Locky han puesto en circulación el pasado 5 de septiembre una nueva versión de su software malicioso con la que pretenden seguir infectando al mayor número de usuarios posibles, impedir que los investigadores de seguridad creen herramientas que permiten recuperar los datos de forma gratuita y poder seguir llevando a cabo las extorsiones para las que son creados estos malware.

La nueva versión de Locky incluye una clave RSA por defecto para garantizar el cifrado

Hasta ahora, la forma más común de proceder con el cifrado de los datos es haciendo que el ransomware contacte con un servidor de control propiedad de los piratas, este genere una clave única y esta se utilice para el cifrado, sin embargo, cada vez son más los administradores de sistemas y los software antivirus que bloquean las conexiones con estos servidores de control, impidiendo que el ransomware descargue las claves y proceda con el cifrado de los datos.

La nueva versión de Locky liberada hace dos dí­as vuelve a las andadas y, en vez de utilizar el servidor de control para generar la clave de cifrado, esta se incluye en una librerí­a junto al malware, procediendo con el cifrado incluso si un firewall o una configuración de red bloquea la conexión con los servidores.

Esto es malo y bueno a la vez ya que, aunque el pirata informático garantiza el cifrado de los datos, todos los usuarios infectados utilizarán la misma clave por lo que si se consigue la clave, ya sea mediante ingenierí­a inversa como pagando una sola persona el rescate, esta podrá ser utilizada para recuperar los datos de las demás ví­ctimas sin necesidad de pagar.
Una nueva versión que está siendo todo un fracaso

Mientras que el hecho de incluir la clave RSA por defecto es digno de preocupación, en realidad este ransomware aún no se ha tomado demasiadas ví­ctimas. Esto se debe a que la mayorí­a de las campañas que distribuyen el ransomware, generalmente oculto en un fichero comprimido .zip, no están utilizando una nomenclatura adecuada para la carga del malware ya que intentan hacer referencia a un fichero .js cuando en realidad esta nueva versión de Locky utiliza un formato .hta.

Locky-error.png

Por ello, cuando la ví­ctima intenta ejecutar el malware solo ve un mensaje de error como el anterior.

Esto puede arreglarse fácilmente simplemente cambiando el formato .js por .hta, por lo que probablemente en próximas campañas esta amenaza sí­ pueda ser digna de preocupación. En caso de lograrse el cifrado de los datos, igual que en las versiones anteriores, los archivos recibirán la extensión ".zepto".


Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11