Una nueva oleada de Locky: el ransomware vuelve a los archivos .docm para difundirse

Una nueva oleada de Locky: el ransomware vuelve a los archivos .docm para difundirse
1 comentario Facebook Twitter Flipboard E-mail

Que el ransomware se ha convertido en uno de los habituales de nuestros artículos y que esta clase de malware amenaza con convertirse en un problema no solo tremendamente habitual sino también multimillonario, es una realidad que hemos venido evidenciando durante los últimos meses. Un contexto en el que, por desgracia, no podemos dejar de comentar la nueva oleada de Locky.

Sí, porque según el blog oficial de la empresa de especializada ESET, este popular virus acaba de volver a la carga, esta vez usando ficheros .docm de Microsoft Word para propagarse. Una campaña de difusión que sigue expandiendo este malware como una auténtica lacra.

De hecho, este virus criptográfico se cuela en el segundo lugar del ranquin establecido por la firma estadounidense Fortinet. Una lista en la que CryptoWall, Locky y Cerber –por este orden- se posicionan como las amenazas de ransomware más populares de la red. Nuestro protagonista lo hace con un 34,36% de ellas.

650 1200

Por desgracia, es en Europa donde goza de mayor arraigo, un lugar en el que los países más afectados han sido Luxemburgo (67% de las detecciones), La República Checa (60%), Austria (57%), los Países Bajos (54%) y otros. En España el porcentaje cae al 39%. Unas cifras nada desdeñables si tenemos en cuenta que fue detectado por primera vez en febrero de este mismo año.

La propagación de Locky

Docm9b

En términos generales, asimismo, Locky se propaga a través de ficheros dañinos .doc, .docm o .xls que figuran como adjuntos a e-mails SPAM en nuestra cuenta de correo electrónico. Unos archivos que contienen supuestas macros, que se ejecutarán al habilitar contenidos, un clic que iniciará el proceso de infección.

¿Su objetivo? Cifrar los archivos de la víctima para exigir un rescate que ronda los 200 euros. Algo que logra creando un archivo BAT y otro más con código VBScript para, finalmente, descargar la amenaza principal. En todo caso y en función de la oleada de malware, estas extensiones van cambiando.

Java

En esta ocasión los ciberdelincuentes están enviando un mensaje de correo electrónico en blanco con un fichero adjunto aparentemente inofensivo de MS Word de Office. La extensión es .docm; una variante y un fichero ofimático malicioso adjunto que ha desplazado a las campañas de propagación anteriores muy cercanas en el tiempo.

Hace menos de dos semanas los especialistas observaron un envío masivo de correos electrónicos que adjuntaban, otra vez, un JavaScript malicioso que descargaba Locky –y que estaba dirigido principalmente al sector corporativo, mencionando una factura o informe-.

Cómo saber si un archivo es inofensivo

Malwr

Para saber si el archivo es inofensivo, disponemos de varias alternativas. Por ejemplo, podemos decantarnos por malwr, un servicio de análisis que nos brinda la posibilidad de obtener más datos acerca de si el malware intenta conectarse a alguna IP. En el blog de ESET se nos muestra un ejemplo de cómo el código malicioso se conecta a una que pertenece a una web de una clínica oftalmológica coreana, un sistema que se emplea para alojar las diversas variantes de este ransomware y con el que los ciberdelincuentes evitan los filtros que monitorizan listas de URLs y bloquean el acceso.

Docm7b

Cuando, seguidamente, accedemos a Virustotal, podemos apreciar que esta web (eyejoeun.com) ha tenido una actividad considerable alojado muestras de Locky durante los últimos días. En esta web también es posible ver la detección de los diferentes antivirus de muestras clasificadas como variantes de la familia de este ransomware.

Captura De Pantalla 2016 07 11 A Las 11 26 18
Captura De Pantalla 2016 07 11 A Las 11 29 44

Otra opción es la de entrar directamente en este servicio y enviarles el archivo en cuestión para que lo analice y confirme (o no) nuestras sospechas. Según la captura de pantalla proporcionada por la firma de seguridad, este finalmente mostró que dentro del fichero se encontraban comprimidos varios .xml, rel y un .bin; y también que el documento permitía ejecutar las macros mencionadas. Para extraer los primeros podemos usar OfficeMalScanner o similares, que analizará también si hay macros maliciosas.

Ofilmal

Consideraciones finales

Por otra parte y para finalizar, no podemos dejar de comentar que el malware más peligroso es aquel que evoluciona, que se reinventa con el tiempo con el fin de evitar su detección, mejorar sus dotes de infección y un largo etcétera que puedes suponer.

1366 2000 1

Es precisamente por esto último por lo que se decantó Nemucod, un descargador empleado por los ciberdelincuentes para descargar y ejecutar ransomware como nuestro protagonista y TeslaCrypt que, a mediados del mes pasado, experimentó ciertas modificaciones que hacen que sea más complicado de detectar.

En todo caso, las recomendaciones para evitar caer en estas “trampas” siguen siendo las mismas: no abrir ficheros adjuntos ni enlaces de correos en los que no confiemos, tomar medidas que restrinjan la ejecución de determinados archivos, llevar a cabo una copia de seguridad de nuestro equipo por precaución, decantarnos por aplicaciones anti ransomware, informarnos constantemente al respecto, etcétera.

Vía | ESET

En Genbeta | La escalada del ramsonware: del ayer al hoy y tendencias de futuro

Comentarios cerrados
Inicio