Se ha detectado una nueva campaña de spam, que contiene el ransomware Locky, esta vez llamado Diablo6.
Aunque vayan apareciendo distintas versiones del ransomware, existen medidas que debemos tener en cuenta para paliar sus efectos.
Distribución Ransomware Locky
En este caso se distribuye mediante un correo electrónico muy parecido al de la imagen:
Estos correos contienen líneas similares a: E (fecha) (número random).docx. Por ejemplo podría ser: E 2017-08-10(649).docx. En el cuerpo del mensaje simplemente indica «Archivos adjuntos. Gracias».
Estos correos electrónicos tienen un archivo ZIP adjunto que utilizan el mismo nombre que la línea de asunto, que contiene una secuencia de comandos de descarga de VBS. Este script contendrá una o más URL que utilizará el script para descargar el ejecutable de ransomware de Locky a la carpeta Temp y luego ejecutarlo.
Cifra los archivos
Una vez que el archivo se descarga y ejecuta, la forma de actuar es cifrando los archivos de nuestro equipo. Esta variante de Locky modifica el nombre del archivo y le añade .diablo6, como hemos indicado, y al hacerlo utiliza el formato [first_8_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [4_hexadecimal_chars] – [12_hexadecimal_chars] .zepto.
Esto quiere decir que por ejemplo un archivo denominado «viaje.jpg» pasaría a llamarse, una vez cifrado, algo así como E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.diablo6.
Cuando Locky haya terminado de cifrar el ordenador, eliminará el ejecutable descargado y luego mostrará una nota de rescate que proporcione información sobre cómo pagar. Los nombres de estas notas de rescate han cambiado para esta versión a diablo6- [random] .htm.
También hace entradas en el registro de Windows para lograr un mayor nivel de persistencia. Las entradas del registro de ese calibre se diseñan típicamente para iniciar el virus automáticamente con cada lanzamiento del sistema operativo Windows o incluso reprimir y manipular los procesos.
Rescate
El rescate que actualmente pide Locky es de 1.600 dólares estadounidenses.
Por desgracia, en este momento todavía no es posible descifrar archivos .diablo6 cifrados por el ransomware Locky de forma gratuita. La única manera de recuperar los archivos cifrados es a través de una copia de seguridad. Esto es algo que resulta importante para evitar problemas de este tipo en un futuro.
Mantener nuestro equipo actualizado y con los últimos parches de seguridad es la mejor solución para enfrentarnos a problemas de este tipo. En los últimos tiempos han surgido diferentes tipos de ransomware, como hemos visto.
Fuente: Blog Segu-Info