El virus Locky es una ciber amenaza que ya ha infectado a 40.000 dispositivos. Sólo en 24 horas, el troyano "Locky" infecto cerca de 17.000 ordenadores en Alemania, 11.000 en los EE.UU. seguido de los Países Bajos e Italia, con cerca de 5000 infecciones.
Locky se caracteriza por encriptar 164 tipos de archivo, pudiendo afectar a prácticamente cualquier archivo de la computadora: imágenes .JPG, .PNG o .GIF, bases de datos como .DB, .ODB, .MDB, .SQLITEDB o .DBF , videos como .MP4, .MOV o .FLV, proyectos de programación como .JS, .VBS o .JAVA, comprimidos como .ZIP y muchos más. También puede cifrar los archivos de aquellos directorios compartidos en red a los que el equipo tiene acceso.
El ransomware Locky es un virus que consigue generar una gran cantidad de beneficios, lo cual es esencial para los criminales. Este ransomware se difunde a través de archivos adjuntos junto a mensajes email. Normalmente, el virus esconde un archivo adjunto en Word.
Los usuarios son engañados por un mensaje y un título engañoso que requiere habilitar macros. En caso de que estén habilitadas, el documento infectado descarga el virus Locky. En cuanto entra en el ordenador, al quedar infectado por Locky, el ransomware inmediatamente comienza a encriptar los archivos con la ayuda del algoritmo AES-128 y renombra todos los archivos y le agrega la extensión .locky.
Locky también borra o intenta borrar todas las instantáneas de recuperación (Shadow Volume Copies) en la máquina infectada, de manera que no se pueden utilizar para restaurar los archivos de la víctima.
Luego de encriptar todos los archivos, el ransomware se elimina a sí mismo del equipo infectado. Al finalizar esto, el ransomware el ransomware establece la nota de rescate. Esta nota de rescate, en formato .txt y .bmp (_Locky_recover_instructions.txt y _Locky_recover_instructions.bmp) son copiadas en cada directorio de la máquina infectada.
Una vez que este proceso de encriptación finaliza, la víctima no puede recuperar sus archivos. El ransomware Locky encripta los archivos usando estándares de encriptación robusta (RSA2048 + AES128 en modo ECB), la cual no es reversible, por lo tanto lleva a una pérdida de los archivos.
El único modo de recuperarlos es con la ayuda de un código de desencriptación, que debe ser proporcionado por los desarrolladores del virus Locky. A los usuarios cuyos archivos han sido bloqueados, se les pide realizar un pago para obtener este código.
Hasta el momento no existen mecanismos para desencriptar los archivos sin la clave que está en poder de los atacantes.
Aunque se recomienda guardar los archivos encriptados y no eliminarlos ya que es posible que después de un tiempo se descubra una solución, por lo general, las herramientas que se ofrecen en Internet para desencriptar archivos encriptados por ransomware son en su mayoría software malicioso, por lo que al tratar de desencriptar los archivos, se corre un alto riesgo de quedar infectado con otro malware.
Sin embargo, en ocasiones no esta todo perdido. En primer lugar no muevas ningún archivo o carpeta, no hagas ningún archivo o carpeta nuev@s y no instales nada.
1º- Se recomienda guardar los archivos encriptados y no eliminarlos ya que es posible que después de un tiempo se descubra una solución. Haz una copia de los archivos encriptados en un CD o en una memoria USB que tengas vacía.
3º- Si Locky hace una copia encriptada de nuestros archivos y después los sustituye por los originales, ademas borra los archivos de las instantáneas de recuperación, tal vez es posible recuperar esos archivos siempre que no los hayamos sobrescrito. Podemos utilizar Recuva (pronunciado como ""recover"" en inglés) que es una utilidad gratuita (Freeware) para Windows que te permite recuperar archivos eliminados por error de tu ordenador https://es.wikipedia.org/wiki/Recuva.
Hasta el momento no existen mecanismos para desencriptar los archivos sin la clave que está en poder de los atacantes.
Aunque se recomienda guardar los archivos encriptados y no eliminarlos ya que es posible que después de un tiempo se descubra una solución, por lo general, las herramientas que se ofrecen en Internet para desencriptar archivos encriptados por ransomware son en su mayoría software malicioso, por lo que al tratar de desencriptar los archivos, se corre un alto riesgo de quedar infectado con otro malware.
Sin embargo, en ocasiones no esta todo perdido. En primer lugar no muevas ningún archivo o carpeta, no hagas ningún archivo o carpeta nuev@s y no instales nada.
1º- Se recomienda guardar los archivos encriptados y no eliminarlos ya que es posible que después de un tiempo se descubra una solución. Haz una copia de los archivos encriptados en un CD o en una memoria USB que tengas vacía.
2º- Aunque Locky también borra o intenta borrar todas las instantáneas de recuperación (Shadow Volume Copies) en la máquina infectada no se pierde nada por intentar restaurar archivos y carpetas modificados o eliminados por error, o dañados. Windows guarda automáticamente como parte de un punto de restauración copias de archivos y carpetas. En función del tipo de archivo o carpeta, puede realizar la operación de abrir, guardar en otra ubicación o restaurar una versión anterior. Antes de restaurar una versión anterior de un archivo o carpeta, seleccione la versión anterior y, a continuación, haga clic en Abrir para asegurarse de que no esta encriptada. Si no se pueden abrir las versiones anteriores de archivos creados por Copias de seguridad de Windows y es posible guardarla hágalo siempre en otra ubicación por ejemplo en CD o USB. Para restaurar una versión anterior de un archivo o carpeta:
3º- Si Locky hace una copia encriptada de nuestros archivos y después los sustituye por los originales, ademas borra los archivos de las instantáneas de recuperación, tal vez es posible recuperar esos archivos siempre que no los hayamos sobrescrito. Podemos utilizar Recuva (pronunciado como ""recover"" en inglés) que es una utilidad gratuita (Freeware) para Windows que te permite recuperar archivos eliminados por error de tu ordenador https://es.wikipedia.org/wiki/Recuva.
Recuva es una navaja suiza ideal para recuperar archivos ¡Recuperará incluso documentos que hayan sido eliminados a causa de errores del sistema, fallos y virus! Puede descargarlo desde cualquier navegador con conexión a Internet. Recuva viene en una versión portátil sin instalador requerido. Es lo suficientemente pequeño como para caber en una unidad USB. Para la versión portátil, sólo tiene que ir a / Recuva / descarga / portátil y descargue el archivo .ZIP directamente en el USB. Necesitará una utilidad para descomprimir el archivo ZIP. Descomprimir el contenido del archivo ZIP en su unidad USB.
El siguiente paso sera reiniciar nuestro computador en modo seguro con funciones de red. https://windows.microsoft.com/es-es/windows/start-computer-safe-mode#start-computer-safe-mode=windows-7
El modo seguro es una opción para la solución de problemas de Windows, que inicia el equipo en un estado limitado. Sólo se inician los archivos y controladores básicos necesarios para ejecutar Windows. Modo seguro con funciones de red https://windows.microsoft.com/es-es/windows/advanced-startup-options-including-safe-mode# inicia Windows en modo seguro con funciones de red incluye los controladores y servicios de red necesarios para tener acceso a Internet o a otros equipos de la red.
Estando en modo seguro con funciones de red ejecutaremos Recuva desde el USB. Para poner en marcha el programa, haga doble clic en el archivo Recuva.exe. O, si está ejecutando Windows de 64 bits, haga doble clic en el archivo Recuva64.exe. Veremos en primer lugar el asistente de recuperación, pulsamos sobre siguiente para continuar y nos mostrará una lista en la que debemos seleccionar el tipo de archivo que queremos recuperar. Seleccionaremos Documents, pulsamos siguiente para continuar. A continuación debemos especificar el directorio donde queremos que el programa busque los archivos, seleccionamos I´m not sure y así buscar los archivos en todo el equipo. El asistente nos muestra una ventana en la que nos indicará que está listo para comenzar. Podemos seleccionar aquí si queremos activar (o no) el análisis profundo, seleccionamos Enable Deep Scam. Damos a iniciar (Start) para que Recuva comience la búsqueda. Cuando recuva termine nos mostrará todos los archivos que ha encontrado: La bola roja al lado del archivo indica que el archivo es difícil de recuperar, en cambio si tiene una bola verde el archivo tiene una fácil recuperación. Aunque la bola es roja vamos a intentar que recuva lo recupere, así que seleccionamos el archivo o archivos que queremos recuperar (recupere solo los archivos que conozca porque seguramente Locky se encuentra entre ellos) y pulsamos recuperar. Elegimos el lugar donde queremos recuperar estos archivos borrados o perdidos y aceptamos. Recordad que debemos seleccionar una unidad distinta, puede ser el mismo USB en el que tenemos Recuva. Una vez que los tengamos en el USB no abrir ningún documento.
Ahora lo que hay que hacer es analizar todo nuestro equipo incluyendo la memoria USB donde tenemos los archivos recuperados, para ello usaremos un programa llamado Malwarebytes Anti-Malware, que es un perfecto aleado de nuestro software Antivirus. Abrimos nuestro navegador y descargamos e instalamos la versión gratuita https://es.malwarebytes.org/ y analizamos. Si tienes instalado algún antivirus ejecútalo, actualizalo y analiza todo tu equipo.
Una vez analizado es aconsejable que haga una segunda copia de los archivos recuperados (en un CD u otra memoria USB) antes de abrir los archivos recuperados no sea que Locky después de todo aun se encuentre entre ellos.
Recuerda; en caso de víctima de ransomware o cualquier ciberdelito se recomienda realizar la denuncia a los organismos correspondientes. Nunca pagues ningún rescate, estas siendo victima de delincuentes profesionales que seguramente son estafadores y siempre quieren más.
Donde denunciar:
https://www.gdt.guardiacivil.es/webgdt/home_alerta.php
https://www.osi.es/es/reporte-de-fraude.html
Vía:
Donde denunciar:
https://www.gdt.guardiacivil.es/webgdt/home_alerta.php
https://www.osi.es/es/reporte-de-fraude.html
Vía:
http://www.cert.gov.py/application/files/6014/5830/2343/Boletin_20160317_Campana_Ransomware_Locky.pdf
http://losvirus.es/hackers-rusos-son-sospechosos-de-estar-tras-el-virus-locky/
http://www.redeszone.net/windows/recuva-manual-para-recuperar-archivos-eliminados/#sthash.4MUH86SR.dpuf
http://www.softzone.es/manuales-software-2/recuva-recupera-tus-datos-perdidos-con-recuva-manual-de-recuva/
http://www.redeszone.net/windows/recuva-manual-para-recuperar-archivos-eliminados/#sthash.4MUH86SR.dpuf
http://www.softzone.es/manuales-software-2/recuva-recupera-tus-datos-perdidos-con-recuva-manual-de-recuva/