Ransomware
Malware o Software Malicioso
En esta nota técnica encontrarás información muy importante sobre recomendaciones de seguridad para ransomware o software maligno, así como algunas situaciones que se pueden presentar, debido a la presencia del virus Locky.
Que es un Ransomware
Es un tipo de malware o software malicioso que perjudica a la computadora, evitando o limitando el acceso de los usuarios a sus sistemas e información; forzando a la víctima a pagar un rescate a través de un método de pago en línea, con la finalidad de obtener el acceso a su sistema o que les sea devuelta su información.
Algunos tipos de este malware cifran los archivos importantes del usuario y otros utilizan un servicio llamado TOR (The Onion Router), para ocultar comunicaciones de C&C (Command and Control), mediante las cuales toman el control del equipo comprometido desde sus servidores.
Las sumas demandadas varían mucho, y puede ser exigido en dólares americanos, euros, entre otras unidades monetarias o incluso en su equivalente en Bitcoins (moneda electrónica).
Nota: Es importante señalar que aun pagando la cantidad solicitada, no hay garantía de que el acceso a la información sea devuelto.
Recomendaciones de Seguridad
Virus Locky
Este virus es una variante de ransomware que cifra los archivos del usuario, y que se ha propagado rápidamente desde su aparición a mediados de febrero de este año. El mayor riesgo radica en la fortaleza de su cifrado y principalmente en las campañas masivas de spam, así como los sitios comprometidos que se utilizan para su propagación.
Como rasgo distintivo, locky cifra los archivos del usuario y les agrega la extensión .locky
Cómo se propaga el virus
El vector de propagación e infección de este malware es vía correo electrónico (spam), en el que se incluye un archivo malicioso en formato de un documento de Microsoft® Office, el cual contiene una macro diseñada para descargar el malware desde internet.
El archivo malicioso puede ser un documento de Word® (archivo .doc o .docx) o de Excel® (archivos .xls o .xlsx). La intención es hacer creer al usuario que el correo contiene un documento importante para que este sea descargado; al hacerlo se pide habilitar las macros para ver el contenido del archivo y al ejecutar las macros, el equipo queda infectado.
Otra forma de propagación es a través de sitios comprometidos o en control de los atacantes, desde los cuales un usuario puede contaminarse de forma inadvertida al navegar por dicho sitio o descargar algún archivo.
Mecanismo de reinicio del malware
La siguiente llave de registro se agrega para que el malware sea habilitado cada vez que se inicia Windows®.
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run “Locky” = “%TEMP%\.exe”
Una vez que el malware ha terminado de cifrar los archivos, se elimina a si mismo y elimina la entrada del registro.
Indicadores de compromiso
Los siguientes indicadores pueden ser utilizados, para identificar de forma automatizada a equipos que potencialmente estén infectados.
Estos registros han sigo agregados al sistema
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run “Locky” = “%TEMP%\.exe”
HKEY_CURRENT_USER\Software\Locky “id” = < Personal Identification ID> “pubkey” = “paytext” = “completed” = “0x1”
