Cómo con sólo abrir un .doc de Word te pueden secuestrar todos los archivos de tu sistema
Si recibes un email disfrazado como una factura de una compañía y cómo adjunto un archivo de Microsoft Word, piensa dos veces antes de hacer click.
Si lo haces podrías poner en un riesgo tu sistema y derivar en una destrucción masiva de tus archivos personales.
Se cree que los hackers están llevando a cabo engaños de ingeniería social, usando llamativos Asuntos en los emails basura (spam) y comprometiendo sitios web como señuelo para que las victimas instalen un mortífero ransomware, apodado “Locky”, en sus sistemas.
Asique si encuentras archivos con extensión .locky en tus recursos compartidos de red, Felicitaciones! estás infectado y tienes dos soluciones: Reinstalar el pc desde cero o pagar el secuestro.
El ransomware Locky se está esparciendo a la velocidad de 4.000 nuevas infecciones por hora, lo que significa 100.000 de nuevas infecciones por día.
Los Macros de Microsoft están de vuelta.
Es difícil de digerir el hecho de que en este 2016, incluso un simple documento de MS Word pueda comprometer tu sistema habilitando los macros.
Este es el punto donde apreciar la inteligencia táctica de un hacker.
Locky comenzó a ser distribuido vía Microsoft 365 u Outlook en el formato de una factura como archivo adjunto (que en realidad es un archivo de word que contiene los macros maliciosos)
El concepto de macro proviene de los 90s. Debés estar familiarizado con el mensaje: “Cuidado, este documento contiene macros”.
Ahora los macros han vuelto, como los ciber criminales han descubierto nuevas formas en que los usuarios abren sus documentos de Microsoft Office, especialmente archivos de Word que permiten correr macros automáticamente.
¿ Cómo funciona Locky ?
Una vez que el usuarios abre el documento de Word malicioso, el archivo doc se descarga al sistema. Sin embargo, el peligro viene cuando el usuario abre el archivo y encuentra todo el contenido desordenado y un mensaje de “habilitar macros”.
Aquí viene lo peor: Una vez que la víctima permite el macro (malicioso), el/ella se descarga un ejecutable desde un servidor remoto y lo corre. El ejecutable es nada menos que Locky que, ni bien ejecutado comienza a encriptar todos los archivos en el sistema y recursos compartidos de red.
Locky encripta casi todos los formatos de archivo y cambia la extensión de cada uno por .locky
Una vez encriptado, el malware muestra un mensaje con las instrucciones de descargar el navegador TOR (para acceso a internet anónimo) y de visitar la página del atacante.
Locky intima a las víctimas a pagar entre 0.5 y 2 Bitcoins (U$208 a U$800) para conseguir la llave de desencriptación.
Un interesante punto de Locky es que ha sido traducido en muchos lenguajes, con lo que aumenta su ataque más allá de los límites del inglés, maximizando los damnificados digitales.
Locky encripta hasta los archivos de respaldo de tu red.
El nuevo ransomware también tiene la capacidad de encriptar los archivos de respaldo que estén alojados en recursos compartidos de tu red. Así que es tiempo de pensar en incluir almacenamiento y un plan de respaldo de terceros y así mantener la información sensible y archivos importantes para evadir futuras infecciones.
Un investigador llamado Kevin Beaumont, junto a Larry Abrahms de BleepingComputer, descubrió inicialmente la existencia de Locky.
Para comprobar el impacto del ransomware, Kevin interceptó el trafico de Locky y se dió cuenta de que el cripto-virus está esparciéndose muy rápido.
” Estimo que a final del día habrá 100.00 nuevas infecciones por Locky, haciendo esto un genuino incidente de ciberseguridad. En 3 días, un cuarto de millón de pcs aproximadamente estarán infectadas.” Dijo Kevin.
Estadísticas de infección en una hora.
Entre los países más afectados se encuentra Alemania, Países Bajos, Estados Unidos, Croacia, Malí, Arabia Saudita, México, Polonia, Argentina y Serbia.