“Locky” ransomware: Todo lo que necesita saber

Por supuesto, no se limita a cambiar el nombre de los archivos, se les revuelve primero, y – como es probable que saber acerca de ransomware – sólo los ladrones tienen la clave de descifrado..

Se puede comprar la clave de descifrado de los ladrones a través de la una llamada conocida como dark web o web oscura.

Los precios que hemos visto varían de 0.5 BTC  to BTC 1.00 (BTC es la abreviatura conocida para las  “bitcoin,” donde un  bitcoin equivale aproximadamente a  U$S 400/£280).

La forma más común que llega Locky es el siguiente:

• Recibirá un correo electrónico con un documento adjunto (Troj/DocDl-BCF).
• El documento parece un gobbledegook.
• El documento informa que habilite las macros «si la codificación de datos es incorrecto”

• Si habilita las macros, que en realidad no corregir la codificación de texto (que es un subterfugio); En su lugar, se ejecuta el código dentro del documento que guarda un archivo en el disco y lo ejecuta.
• El archivo guardado (Troj / Ransom–CGX) sirve como un programa de descarga, que obtiene la carga útil de malware final a partir de los ladrones.
• La carga útil final podría ser cualquier cosa, pero en este caso es por lo general el Locky ransomware (Troj/Ransom-CGW).

Locky codifica todos los archivos que coinciden con una larga lista de extensiones, incluyendo vídeos, imágenes, código fuente y los archivos de Office.

Locky incluso revuelve wallet.dat, su archivo cartera Bitcoin, si tiene u

En otras palabras, si usted tiene más BTC en su cartera que el costo del rescate, y ninguna copia de seguridad, es muy probable que pagar. (Y ya sabrá cómo comprar nuevos bitcoins, y la forma de pago con ellos.)

Locky también elimina todos los archivos Volume Snapshot Service (VSS), también conocidas como las instantáneas, que pueden haber hecho.

Shadow copies o copias  instantáneas son la forma de Windows de hacer copia de seguridad de instantáneas en vivo sin tener que dejar de trabajar – no es necesario cerrar la sesión o incluso cerrar sus aplicaciones primero – por lo que son una alternativa rápida y popular a un procedimiento de copia de seguridad adecuado.

Si visita la página web oscura que figura en el mensaje de advertencia, a continuación, recibirá las instrucciones de pago que mostramos arriba.

Por desgracia, en lo que podemos decir, no hay atajos fáciles de recuperar los datos si no tiene una copia de seguridad reciente.

Recuerde, también, que al igual que la mayoría de ransomware, Locky no acaba de codificar su unidad C:

Se revuelve cualquier archivo en cualquier directorio en cualquier unidad montada que puede acceder, incluyendo las unidades extraíbles que están conectados en ese momento, o partes de la red que son accesibles, incluyendo servidores y otros equipos de la gente, ya sea que se ejecutan en Windows, OS X o Linux.

Si ha iniciado sesión como administrador de dominio y usted es golpeado por ransomware, usted podría hacer un daño muy extendida en verdad.

Darse por adelantado todo el poder de acceso que jamás puede ser que necesite es muy conveniente, pero por favor no lo haga.

Sólo inicio de sesión (o utilizar Ejecutar como …) con poderes de administrador cuando realmente los necesita, y renunciar a esos poderes tan pronto como usted no lo hace.

QUE HACER?

• Copia de seguridad con regularidad y mantener una copia de seguridad reciente fuera de las instalaciones. Hay docenas de maneras distintas de ransomware que los archivos pueden desaparecer repentinamente, tales como incendios, inundaciones, robos, un ordenador portátil caído o incluso un borrado accidental. Cifrar la copia de seguridad y que no tendrá que preocuparse por el dispositivo de copia de seguridad de caer en las manos equivocadas.
• Configurar su servicio de Anti-spam o Anti-virus de mail. Bloquee de manera preventiva la descargas de los tipos de archivos afectados. En caso de no contar con un sistema, podemos ofrecer nuestro servicio CLOUD EMAIL SECURE.
• No habilitar las macros en documentos adjuntos recibidos a través de correo electrónico. Microsoft deliberadamente apagado automático ejecución de macros de forma predeterminada hace muchos años como medida de seguridad. Una gran cantidad de infecciones de malware confían en persuadir a convertir las macros de nuevo, así que no lo haga!
• Tenga cuidado con los archivos adjuntos no solicitados. Los ladrones están confiando en el dilema que no se debe abrir un documento hasta que esté seguro de que es uno que quiere, pero no se puede decir si es que usted quiere hasta que lo abra. En caso de duda, dejarlo fuera.
• No inicie sesion con usuarios de mayores privilegios a los necesarios. Lo más importante, no permanece conectado como administrador por más tiempo que el estrictamente necesario, y evitar la navegación, la apertura de documentos u otras actividades de «trabajo normal», mientras que tiene derechos de administrador.
• Considere la instalación de los visualizadores de Microsoft Office. Estas aplicaciones de visualización le permiten ver lo que los documentos parecen sin necesidad de abrirlos en Word o Excel sí mismo. En particular, el software de visualización no admite macros en absoluto, por lo que no puede habilitar las macros por error!
• Aplique los Parches de manera preventiva. El malware que no viene a través de las macros del documento suele aprovecharse de los errores de seguridad en las aplicaciones más conocidas, como Office, el navegador, Flash y más. Cuanto antes se patch, el menor número de agujeros abiertos siguen siendo para los delincuentes para aprovechar.