El ransomware Locky infame ha cambiado una vez más a una nueva extensión para añadir a los archivos cifrados, pero ha vuelto a documentos de Office maliciosos listos para su distribución.
Artículo publicado por nuestros compañeros de SecurityWeek.
http://www.securityweek.com/locky-variant-osiris-distributed-excel-documents
Traducción Google:
La última variante Locky está añadiendo el .osirisextensión a los archivos cifrados, que marca un cambio de la mitología nórdica a la mitología egipcia. El cambio se produce sólo un par de semanas después de Locky fue vista usando el.aesir extensión.
El ransomware ha conmutado entre numerosas extensiones desde su aparición inicial en febrero, cuando fue anexando .locky a los archivos cifrados. Algunas de las más conocidas otras variantes manchados hasta el momento incluyenZepto , Odin y Thor.
También es interesante acerca de la nueva variante Locky es el uso de documentos de Excel maliciosos para su distribución. Se adjunta a los correos electrónicos de spam que pretenden ser facturas, estos documentos están ocultos dentro de archivos Zip. Ellos contienen macros que, una vez activados, descargar e instalar Locky en el ordenador de la víctima.
Tan pronto como el usuario abre la hoja de cálculo de Excel, se muestra una hoja en blanco y se pide al usuario para permitir macro para ver el contenido. El nombre de la hoja es «Лист1», que significa en Ucrania «Sheet1». De acuerdo conBleepingComputer , esto podría ser un claro indicador de que el desarrollador de Locky es de Ucrania.
Tan pronto como la víctima permite que las macros maliciosos, una macro VBA se descargará un archivo (biblioteca de enlaces dinámicos) DLL y cargarlo utilizando legítimo de Windows ‘Rundll32.exe programa. El archivo descargado (que se guarda en la carpeta% Temp%) no muestra el archivo DLL de extensión, ya que ha cambiado de nombre, pero funcionará como cualquier biblioteca tenía la intención de trabajar.
Este comportamiento se ha asociado con Locky antes, sobre todo porque el ransomware se observó la difusión a través de los archivos DLL a principios de este año, pero no se limita a esta familia de malware solo. En el caso de esta variante Locky, el nombre de la DLL y la exportación utilizado para instalar la amenaza podría variar de un infección a otra, según los investigadores.
Una vez instalado en el ordenador de la víctima, sin embargo, Locky se comportaría igual que antes: sería buscar las unidades locales y recursos compartidos de red de archivos para cifrar. El ransomware sería cambiar el nombre de los archivos cifrados y también agrega la extensión .osiris a ellos.
Tan pronto como el proceso de cifrado se ha completado, Locky deja caer una nota de rescate para informar a la víctima sobre lo ocurrido a sus archivos. El nombre de la nota de rescate ha sido diseñada especialmente para la nueva variante de OSIRIS, dicen los investigadores.
Para mantenerse protegido, los usuarios deben evitar la descarga de archivos adjuntos procedentes de fuentes que no reconocen.También debe prestar atención a los documentos con macros, ya que a menudo se esconden malware. Instalación de una solución anti-malware y mantenerla actualizada en todo momento también debería ayudar a prevenir las infecciones del suceso.
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
