Se Zepto ransomware, la nueva Locky
Cuidado con la última llegada a la escena ransomware: Se Zepto.
El nuevo virus que acecha hoy en día es muy similar al conocido malware Locky. El mismo, bloquea los archivos personales de los usuarios en sus computadoras y se solicita que hagan un pago para la recuperación de los mismos. El conocido “Locky” se distribuye junto con varios archivos .doc maliciosos adjuntos en los e-mails de spam. Se activa en el momento en que los usuarios hacen clic en estos archivos; el ransomware se descarga e inmediatamente encripta algunos archivos. El Ransomware Locky cambia los nombres de los archivos encriptados a una combinación única de 16 letras y dígitos y añade la extensión .locky al archivo. Según el programa, para desbloquear los archivos necesitas un código de desencriptación, que puede obtener si paga el “rescate”.
El nuevo Se Zepto ransomware tiene las mismas consecuencias, sus archivos terminan encriptados. El Locky y el Se Zepto son tan similares que cuando se llega a la “página de pago” para la recuperación de archivos, la página misma lo lleva a comprar un “Locky decryptor”. Es allí donde los estafadores le dicen cuánto tiene que pagar para descifrar los datos y recuperar sus archivos.
Cabe destacar que hay una diferencia evidente de una infección Locky. Después de un ataque Se Zepto, se ha cambiado el nombre de sus archivos de modo que terminen en .zepto en lugar de .locky.
Ahora nos preguntamos, ¿cómo llega Zepto a invadir mis archivos?
El virus Se Zepto ransomware aparece principalmente en e-mails con archivos adjuntos .ZIP y .DOCM.
En el caso de un .ZIP, el archivo se descomprime con una extensión JavaScript .JS. Recuerde siempre que si en JavaScript aparece un formato extraño en un archivo adjunto que pretende ser un documento, Windows suprime la .JS parte del nombre por defecto, y muestra el archivo con el icono que da la impresión de un archivo de texto.
Al abrir el archivo JavaScript, se ejecuta el programa, que a su vez descarga el ransomware como un programa de windows .EXE de archivos y lo ejecuta automáticamente.
En el caso de un archivo con extensión DOCM, al hacer doble clic en el archivo se abre de forma predeterminada la aplicación Microsoft Word. Es importante resaltar que DOCM es la abreviatura de “documento con macros,” un tipo especial de documento que contiene secuencias de comandos incrustadas escritas en VBA (Visual Basic para Aplicaciones). VBA es un lenguaje de programación que tiene muchas similitudes con JavaScript, y que se puede utilizar tanto para los mismos fines, incluyendo la propagación de malware.
Los macros dentro de un archivo de Word no se ejecutan de forma predeterminada, pero lo hacen para obtener un indicador como el que aquí, tan buena como la que le invita a utilizar el [Options] botón para ajustar la seguridad de su ajustes.
También existen trampas en documentos en blanco.
La mayoría de los documentos que llevan ransomware a base de macro incluyen algún tipo de “explicación” para fomentar a que se haga clic en [Options] y cambiar la configuración de seguridad con el pretexto de mejorar la seguridad de alguna manera.
La habilitación de macros tiene el mismo efecto secundario como abrir el archivo JavaScript arriba: la secuencia de comandos de VBA descarga el ransomware como un EXE de archivos y lo ejecuta.
¿Cómo evitar la llegada e infección del Se Zepto ransomware?
Net Universe ofrece servicios con una garantía asegurada contra la recepción de ataques maliciosos. Para ello, se presentan los siguientes productos:
- Net Universe Email Security: Con este servicio, se activa un email gateway que incluye un escaneo de los virus y spam en todas las salidas y recepciones de emails en tiempo real. Todos los archivos que contengan este tipo de archivos sospechosos, maliciosos o amenazantes se dejan en cuarentena y se envía automáticamente un correo al usuario para alertar acerca de la presencia de los mismos. Los correos que se encuentren en “cuarentena” pueden ser liberados solamente por el administrador de los usuarios o por el usuario que lo recibió.
- Net Universe Managed Security: Este servicio provee toda la protección que necesita para detener ataques sofisticados y amenazas avanzadas. Configura, administra y protege todas las redes inalámbricas gracias al controlador inalámbrico integrado. También amplía la protección a sus Pcs y portátiles Windows con antivirus, control de dispositivos y web; todo administrado desde su nuestra consola Cloud. Esto se logra debido a una protección completa de SMTP y POP contra correo no deseado, pesca de información y fuga de datos, que combina un cifrado de correo electrónico basado en políticas con DLP y anti-spam. También, refuerza sus servidores web y aplicaciones de Microsoft Enterprise contra intentos de ataque a la vez que proporciona acceso seguro a los usuarios externos con autenticación de proxy inverso.