«

»

Sep 29

Artículo: Locky Ransomware Drops Offline Mode. 

https://goo.gl/cKb7Zo

Traducción Google:

Locky, una de las familias más prolíficos ransomware este año, ha cambiado su modus operandi, una vez más mediante la adopción de una nueva extensión que se anexa a los archivos cifrados.

Observado por primera vez en febrero, cuando se destacó porque podría cifrar archivos en  recursos compartidos de red sin asignar , Locky fue originalmente el cambio de nombre a los archivos cifrados [id_exclusivo] .locky [identificador]. A principios del verano, los investigadores revelaron que Locky cambió a la extensión .zepto , que ha sido utilizado en varias campañas desde entonces.

Ahora, Locky está anexando la extensión .ODIN a los archivos cifrados, que está obligado a crear una cierta confusión, ya que las víctimas pueden creer que han sido infectados con una nueva variante ransomware. Sin embargo, de BleepingComputer Lawrence Abrams señala que este no es el ransomware Odin, pero el conocido Locky, que está utilizando la extensión .ODIN en lugar de .zepto.

Al igual que antes, la nueva versión de software malicioso se distribuye a través de correos electrónicos no deseados que contienen archivos de comandos como archivos adjuntos. Tan pronto como el destinatario abre el archivo adjunto, el código malicioso en estos archivos de comandos descarga un instalador DLL cifrado, después de lo cual descifra y ejecuta para infectar el sistema con Locky.

Una vez ejecutado, el ransomware cifra los archivos del usuario, cambia el nombre de ellos, y agrega la extensión .ODIN. A continuación, el malware gotas notas de rescate en el sistema para informar al usuario sobre el ataque. En esta nueva variante, los nombres de las notas de rescate han sido cambiados para_HOWDO_text.html , _HOWDO_text.bmp , y _ [] 2_digit_number _HOWDO_text.html .

Recientemente, Locky también regresaron a la utilización de un servidor de comando y control (C & C), después de cambiar a un modo sin conexión de nuevo a mediados de julio . En ese momento, el cambio hecho que sea más difícil para los administradores de TI y los investigadores de seguridad para detener las infecciones Locky, porque el bloqueo de sus conexiones de C & C ya no tuvo el efecto deseado.

Ahora, los investigadores de Avira revelan que el ransomware ha cambiado de nuevo a la utilización de servidores C & C, mientras que también diciendo que sólo pocos afiliados continúan utilizando el modo sin conexión. Si bien no hay información sobre lo determinado exactamente los operadores de Locky para revertir el cambio, Avira explica que el uso de un modo sin conexión era un arma de doble filo para los cibercriminales.

“Por un lado, al no dar información de C & C – y una dirección IP – que permite la red Locky mantener fuera de la vista de la aplicación de la ley y los investigadores de seguridad. Pero, por otro lado, reduce las votaciones los delincuentes puedan depositarse sobre la eficacia de las campañas individuales de distribución Locky administrados por sus afiliados “. 

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). Miembro de la Asociación STOP! Violencia de Género Digital. **Profesional del campo de la Informática desde el año 1990, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años, disfruto estableciendo comunicación con personas de todos los continentes y como fotógrafo nocturno, disfrutando de la noche con los amigos y admirando el patrimonio nacional con otros ojos (Puedes ver mis trabajo en Flickr)
A %d blogueros les gusta esto: