Virus Locky

¿Qué es Locky?

Locky es un virus secuestrador de equipos que se distribuye a través de archivos maliciosos .doc adjuntos a mensajes basura de correo electrónico. Este documento Word contiene textos codificados que parecen ser macros. Una vez que el usuario habilita los macros en el programa Word, se descarga un ejecutable (el virus criptográfico). Lo que sucede luego es que se encriptan varios archivos. Es notorio que Locky cambie los nombres de todos los archivos por 16 letras y dígitos únicos con la extensión de archivo .locky (.zepto), de ahí que resulte casi imposible identificar los ficheros. Todos ellos son encriptados con un algoritmo RSA-2048 y AES-1024; por tanto, se requiere de una clave privada (que se encuentra almacenada en los servidores remotos controlados por los ciberdelincuentes) para llevar a cabo la desencriptación. Para desencriptar los archivos propios, la víctima debe pagar un rescate.

Cuando los archivos han sido encriptados, Locky crea un archivo .txt. dentro de cada carpeta que tenga archivos encriptados. Para colmo, este virus criptográfico cambia el fondo de pantalla del escritorio. Ambos archivos de texto y el fondo de pantalla reproducen el mismo mensaje que informa al usuario sobre la encriptación. Se asegura que los archivos pueden ser solo desencriptados con un desencriptador desarrollado por los ciberdelincuentes que cuesta 0.5 BitCoins. Cabe resaltar que Locky elimina todas las copias shadow de los archivos. En la fecha de consulta, no existía ninguna herramienta capaz de desencriptar los archivos afectados por Locky, por tanto, la única solución que tiene este problema es restaurar los archivos a partir de una copia de seguridad.

instrucciones desencriptación Locky

Los resultados de investigaciones muestran que hay cientos de programas maliciosos de la categoría ransomware que son similares a Locky; por ejemplo, Cryptowall, JobCrypte, UmbreCrypt, TeslaCrypt y DMA-Locker. Todos ellos actúan de la misma forma: encriptan los archivos y exigen un rescate. La única diferencia es la cuantía del rescate y el tipo de algoritmo usado para encriptar los archivos. Los resultados de investigaciones apuntan a que no hay ninguna garantía de que recuperará sus archivos aun habiendo pagado el rescate. Si realiza el pago, estará apoyando el negocio malicioso de los ciberdelincuentes. Por ese motivo, nunca debería pagar el rescate ni tampoco intentar contactar con ellos. Asimismo, los usuarios deben quedar informados de que el software malicioso como Locky se distribuye normalmente a través de actualizaciones de software, redes P2P, adjuntos de e-mail maliciosos y troyanos. Por tanto, es muy importante mantener actualizados todos los programas instalados y verificar bien lo que está descargando. Los usuarios deben también ir con cuidado al abrir adjuntos en e-mails enviados desde direcciones sospechosas. Es imprescindible usar una solución fiable antivirus o antiespía.

A continuación, verá una captura de pantalla del mensaje de correo electrónico usado para distribuir el virus criptográfico Locky. E-mail con asunto “ATTN: Invoice J-12345678” y el adjunto infectado “invoice_J-12345678.doc” (contiene macros que descargan e instalan el virus bloqueador de equipos Locky en el sistema de la víctima):

Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!

adjunto de e-mail infectado que distribuye el virus criptográfico Locky

Archivo de texto _Locky_recover_instructions.txt:

archivo de texto con instrucciones para pagar el rescate

Texto mostrado en el fondo de pantalla del escritorio y en los archivos .txt creados por Locky:

!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. hxxp://6dtxxxxm4crv6rr6.tor2web.org/07Bxxx75DC646805
2. hxxp://6dtxxxxgqam4crv6rr6.onion.to/07Bxxx75DC646805
3. hxxp://6dtxxxxgqam4crv6rr6.onion.cab/07Bxxx75DC646805
4. hxxp://6dtxxxxgqam4crv6rr6.onion.link/07Bxxx75DC646805
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxxxxm4crv6rr6.onion/07Bxxx75DC646805
4. Follow the instructions on the site.
!!! Your personal identification ID: 07Bxxx75DC646805 !!!

Captura de pantalla del escritorio de una víctima infectada con el virus criptográfico Locky:

virus criptográfico locky atacando el equipo de sus víctimas

Tipos de archivo afectados por el virus criptográfico Locky:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Fuente: https://www.pcrisk.es

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s