Locky se une a la fiesta del ransomware en macros de Word

Locky se une a la fiesta del ransomware en macros de Word

La infección se concreta si los macros están habilitados o pide activarlos si no lo están por medio de un engaño.

Las infecciones por malware no ceden, gracias a la combinación de ingeniería social con técnicas de infección que en pleno 2016 parecerían absurdas, pero suceden a menudo. La infección por macros en documentos Word es una de ellas, y Locky es un ransomware que se suma a la fiesta de estas infecciones. Su tarea es cifrar los archivos del usuario y de los dispositivos conectados a la computadora, incluso de las unidades en red.

El método de distribución de este ransomware es sencillo: el usuario recibe un e-mail con la letra “J” inicial en el asunto y una serie de números aleatorios, conteniendo una supuesta factura. El documento se abre y si están habilitadas las macros de Word, inicia el proceso de infección, pero si están inhabilitadas, pide al usuario que las active para ver el mensaje codificado e ilegible en el documento, aplicando la ingeniería social, de acuerdo con ArsTechnica.

(c) ArsTechnica

Si el usuario cae en la trampa y se deja vencer por la curiosidad para habilitar las macros, a continuación el script comenzará a descargar el ransomware Locky en la carpeta temporal del usuario activo. Éste se instalará y comenzará a cifrar los archivos de la computadora y escaneará las unidades conectadas a ellas para ‘secuestrar’ su contenido. Los archivos cifrados serán renombrados con el formato [id_único][identificador].locky.

(c) ArsTechnica

Además, dejará un archivo _Locky_recover_instructions.txt en las carpetas afectadas, el cual contiene las indicaciones que el usuario deberá seguir para recuperarlos. Informa que los archivos han sido cifrados usando los algoritmos RSA-20148 y AES-128, así que la única manera de recuperarlos es pagando medio bitcoin, equivalente a alrededor de USD$210 dólares.

Locky ya ha sido identificado por la mayor parte de productos antivirus, pero el riesgo de infección por este ransomware continúa latente, pues la mayoría de usuarios afectados son aquellos con versiones desactualizadas de Office, lo cual indicaría que las probabilidades de que actualicen su software antivirus son reducidas y se están exponiendo a éste y otros tipos de malware.

Opinar es gratis, como siempre. No olviden seguirnos y comentar en Facebook.