Traducción Google:
Locky, una de las familias más prolíficos ransomware este año, ha cambiado su modus operandi, una vez más mediante la adopción de una nueva extensión que se anexa a los archivos cifrados.
Observado por primera vez en febrero, cuando se destacó porque podría cifrar archivos en recursos compartidos de red sin asignar , Locky fue originalmente el cambio de nombre a los archivos cifrados [id_exclusivo] .locky [identificador]. A principios del verano, los investigadores revelaron que Locky cambió a la extensión .zepto , que ha sido utilizado en varias campañas desde entonces.
Ahora, Locky está anexando la extensión .ODIN a los archivos cifrados, que está obligado a crear una cierta confusión, ya que las víctimas pueden creer que han sido infectados con una nueva variante ransomware. Sin embargo, de BleepingComputer Lawrence Abrams señala que este no es el ransomware Odin, pero el conocido Locky, que está utilizando la extensión .ODIN en lugar de .zepto.
Al igual que antes, la nueva versión de software malicioso se distribuye a través de correos electrónicos no deseados que contienen archivos de comandos como archivos adjuntos. Tan pronto como el destinatario abre el archivo adjunto, el código malicioso en estos archivos de comandos descarga un instalador DLL cifrado, después de lo cual descifra y ejecuta para infectar el sistema con Locky.
Una vez ejecutado, el ransomware cifra los archivos del usuario, cambia el nombre de ellos, y agrega la extensión .ODIN. A continuación, el malware gotas notas de rescate en el sistema para informar al usuario sobre el ataque. En esta nueva variante, los nombres de las notas de rescate han sido cambiados para_HOWDO_text.html , _HOWDO_text.bmp , y _ [] 2_digit_number _HOWDO_text.html .
Recientemente, Locky también regresaron a la utilización de un servidor de comando y control (C & C), después de cambiar a un modo sin conexión de nuevo a mediados de julio . En ese momento, el cambio hecho que sea más difícil para los administradores de TI y los investigadores de seguridad para detener las infecciones Locky, porque el bloqueo de sus conexiones de C & C ya no tuvo el efecto deseado.
Ahora, los investigadores de Avira revelan que el ransomware ha cambiado de nuevo a la utilización de servidores C & C, mientras que también diciendo que sólo pocos afiliados continúan utilizando el modo sin conexión. Si bien no hay información sobre lo determinado exactamente los operadores de Locky para revertir el cambio, Avira explica que el uso de un modo sin conexión era un arma de doble filo para los cibercriminales.
«Por un lado, al no dar información de C & C – y una dirección IP – que permite la red Locky mantener fuera de la vista de la aplicación de la ley y los investigadores de seguridad. Pero, por otro lado, reduce las votaciones los delincuentes puedan depositarse sobre la eficacia de las campañas individuales de distribución Locky administrados por sus afiliados «.
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
