Ante la inminente llegada de Locky, una nueva cepa de ransomware que revuelve y cambia el nombre de todos los archivos para que tengan la extensión .locky., Makros, compañía experta en seguridad TI, realizó algunas precisiones para tener en cuenta y poder llevar a cabo ciertos resguardos.
“La forma más común que llega Locky es a través de un correo electrónico con un documento adjunto (Troj / DocDl-BCF), el cual viene con un texto cifrado o complicado, indicando que se debe habilitar las macros si la codificación de datos es incorrecto”, explica Marcelo Díaz, Gerente General de Makros.
De acuerdo al ejecutivo, el engaño permite que el archivo guardado (Troj / Ransom-CGX) sirva como un programa de descarga y la carga útil final es el Locky ransomware (Troj / Ransom-CGW). Así, Locky codifica todos los archivos que coinciden con una larga lista de extensiones, incluyendo vídeos, imágenes, código fuente y los archivos de Office.
Revuelve cualquier archivo en cualquier directorio en cualquier unidad que pueda acceder, incluyendo las unidades extraíbles que estén conectados en ese momento, o partes de la red que sean accesibles, incluyendo servidores y otros equipos, ya sea que se ejecutan en Windows, OS X o Linux. “Si un usuario ha iniciado sesión como administrador de dominio y es atacado por Locky, podría hacer un daño muy extendido”, precisa Marcelo Díaz.
Por lo anterior, es importante tomar algunas precauciones. Entre ellas, hacer una copia de seguridad con regularidad y mantener una fuera de las instalaciones; no habilitar las macros en documentos adjuntos recibidos a través de correo electrónico; ser cauteloso ante archivos adjuntos no solicitados; no permanecer conectado como administrador por más tiempo de lo que es estrictamente necesario y evitar la navegación, la apertura de documentos u otras actividades mientras se tiene derechos de administrador.
Además, es vital contar con la tecnología adecuada para detener a Locky, como la que entrega Sophos, representada en Chile por Makros. Sophos bloquea programas maliciosos e infecciones al identificar e impedir el puñado de técnicas y comportamientos utilizados en casi todas las vulnerabilidades. Al correlacionar indicadores de amenazas, puede bloquear vulnerabilidades de aplicaciones e Internet, direcciones web peligrosas, aplicaciones no deseadas y código malicioso y evitar que lleguen a afectar a sus estaciones de trabajo. Asimismo, impide el cifrado malicioso espontáneo de datos por parte de ransomware, incluso archivos o procesos de confianza que hayan sido secuestrados. Y una vez que se ha interceptado el ransomware, revierte los archivos a su estado seguro.
