Locky ransomware es uno de los casos de virus criptográficos que no ha sido resuelto hasta ahora y sigue evolucionando. No hay ningún desencriptador de Locky que esté disponible para las víctimas para desbloquear sus archivos libremente. Nuevas campañas de spam para la propagación de Locky han sido detectadas recientemente por los investigadores de TrendMicro. Esta campaña, sin embargo, es diferente de las operaciones anteriores, ya que se ha adoptado una nueva táctica – por medio de Archivo de secuencias de comandos de Windows (Windows Scripting File) para la llegada del ransomware a la máquina de la víctima. El despliegue del WSF no es algo que no se haya visto, porque ya se ha hecho muy popular con otro ransomware – Cerber. La campaña de Cerber basada en el WSF se detectó en mayo de este año, y fue bastante exitosa.
Tal vez esa sea la razón que llevó a los creadores de Locky a la inclusión de esta táctica en sus nuevas campañas.
El éxito de los archivos WSF se debe al hecho de que dichos archivos no son generalmente controlados para actividades maliciosas por las soluciones de seguridad del punto final.
Un repaso de la última Campaña de Locky basada en archivos WSF
Al igual que en campañas anteriores, el ransomware sigue utilizando mensajes de spam con archivos adjuntos .ZIP. Los archivos adjuntos contienen los archivos WSF.
Los correos electrónicos de spam por lo general tienen líneas de asunto como:
- “Registro de cuenta bancaria”
- “Informe anual”
- “Base de datos de la empresa”
Los investigadores creen que los creadores de ransomware se dirigen a las empresas, debido a las líneas de asunto. Se observó que la mayoría de los correos electrónicos de spam fueron enviados entre las 9 am y las 11 am UTC. Este es el momento en el que los empleados de las empresas entran a trabajar en la mayoría de los países europeos. Además, el volumen de spam fue mucho mayor durante los días entre semana y menos durante los fines de semana. Esta es una clara indicación de que la última campaña Locky ha optado por atacar a las empresas.
La primera oleada de esta campaña de spam se observó el día 15 de Julio-con cada correo electrónico procedente de diferentes direcciones IP. Los países que enviaron la tanda inicial de spam eran Serbia, Colombia y Vietnam. Luego, otra ola de envíos de spam fueron vistos el 18 y el 19 de julio y con los correos electrónicos procedentes de países como Tailandia y Brasil.
¿Por qué los creadores de ransomware usan los archivos WSF?
Primero Cerber, y ahora los operadores de Locky están adoptando los archivos WSF. Como ya dijimos, los archivos de secuencias de comandos de Windows (WSF) permiten al ransomware eludir las medidas de seguridad, como el análisis caja de arena (sandbox) y las listas negras. Los archivos WSF desempeñan el papel de descargadores del ransomware. Por otra parte, los archivos WSF permiten a los operadores maliciosos descargar cualquier carga de malware que quieran, al igual que con el uso de VBScript y JavaScript.
Cuando los archivos descargados tienen diferentes valores hash, su detección a través de las listas negras se hace difícil. Las muestras que analizamos tienen propiedades de un archivo “Yahoo Widget” para hacerlo pasar como legítimo.
Una clave del registro empleada para determinar el idioma del sistema antes de dejar caer Locky
Además del empleo de los archivos WSF, en esta campaña se ha observado también la agregación de una clave del registro para determinar el idioma del sistema. Esta no es la primera vez que un ransomware utiliza claves del registro – el mismo comportamiento se observó anteriormente en Jigsaw, CryptoLocky y Reveton ransomware.
Protocolo SSH utilizado para la comunicación de Mando y Control (C&C)
El último Locky también se ha observado que utiliza el protocolo SSH o el openVPN para encriptar el tráfico de red. Los investigadores informan que uno de los servidores C & C es de la Web profunda a través de un sitio específico Tor – [.] Zjfq4lnfbs7pncr5 cebolla para [.].
Esta amenaza también añade la extensión de archivos .zepto. Además, el ransomware utiliza APIs nativas para cambiar la extensión del archivo.
Todas las pruebas apuntan al hecho de que los operadores de esta campaña son de Brasil. Los investigadores fueron capaces de detectar como la última Locky se vende en el mercado negro de Brasil, que es uno de los mercados más desarrollados y mejor organizados.
Los investigadores también dicen que encontraron un usuario de Facebook que compartía una determinada publicación en el blog:
También encontramos a alguien (con la aliasunknown_antisec) usando Facebook para compartir esta entrada del blog (publicado originalmente en el blog Trend Micro en Brasil) que discute nuestras conclusiones sobre el el underground de Brasil. Ese usuario en particular también incluyó un título en portugués de Brasil que puede traducirse como “Que pasa colega, que te han traido un ransomware”.
No es la primera vez que los delincuentes cibernéticos brasileños utilizan las redes sociales para hacer publicidad de sus productos y servicios.
La última campaña WSF de Locky : Eliminación, Prevención y Conclusión
Locky está, sin duda, evolucionando – inicialmente la amenaza utilizaba macros, luego cambió a JavaScript y VBScript y en la actualidad al WSF. “Con este tipo de archivo, se puede, por defecto, combinar cualquier lenguaje de scripting como JScript, que fue utilizado anteriormente por RAA para los propósitos de ofuscación”, señalan los investigadores.
Puesto que esta variante es capaz de pasar por alto el análisis tradicional y el de caja de arena (sandbox), debe ser detenido en la capa de la exposición. TrendMicro dicen que son capaces de proteger a sus clientes a nivel de puerta de enlace mediante la detección de correos electrónicos no deseados relacionados con Locky.
Si usted ha sido infectado por Locky
La primera cosa que cada víctima debe hacer es quitar el ransomware de su sistema. La forma más sencilla de hacerlo es mediante el uso de un programa anti-malware.
Luego, las víctimas pueden intentar restablecer algunos de sus archivos encriptados a través de software de recuperación de datos, tales como:
En el futuro continuamente haga copias de seguridad de sus datos de modo que nunca sean víctimas de los virus criptográficos.
