¿Sabes qué es el ransomware Locky y por qué marcó un precedente para la historia de este tipo de malwares? Los ransomwares son programas maliciosos extremadamente peligrosos. Su objetivo consiste en encriptar los archivos del ordenador infectado y cobrar una suma de dinero a cambio de la clave para descifrarlos. El primer ransomware de la historia fue AIDS Trojan (1989) y, desde entonces, no ha dejado de utilizarse el concepto en el mundo del cibercrimen.
Es común que los virus ransomwares utilicen diferentes técnicas para ocultarse. Sin embargo, el ransomware Locky se podría llevar el premio a ser el más creativo en ello. Del mismo modo que las empresas de seguridad han desarrollado métodos para desencriptar archivos cifrados con ransomware, los creadores de estos virus también se han puesto al día con sus técnicas.
En este post, hablaremos sobre un ransomware troyano que es muy efectivo para esconderse y ocasiona grandes daños en los ordenadores que infecta. A continuación, te explicaremos qué es el ransomware Locky.
¿Qué es el ransomware Locky?
Locky es un ransomware de tipo troyano que se descubrió en el año 2016. Se propagó principalmente por medio de campañas de email maliciosas y utilizaba dos tipos de software para ejecutarse en el ordenador de las víctimas. Por una parte, el virus podía ejecutar un ataque con macros de archivos de Microsoft Office, como documentos de Word u hojas de cálculo de Excel. No obstante, también hubo versiones del virus que utilizaban archivos de JavaScript, los cuales parecían aún más inofensivos.
Después de ejecutar el exploit, el software de Locky comenzaría a funcionar en segundo plano, encriptando poco a poco cada uno de los archivos del usuario. El virus modificaba la extensión de los ficheros por una llamada “.zepto”. Como rescate, los delincuentes exigían pagar una suma de dinero que oscilaba entre 0,5 y 1,0 bitcoins.
¿Cómo funciona el ransomware Locky?
Ya hemos visto qué es el ransomware Locky. Ahora, te explicaremos sus dos métodos de propagación y su sistema de encriptación y pago del rescate.
Ataque con macros
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaLos macros son programas que se encuentran incrustados en los documentos de Microsoft Office y ejecutan instrucciones de formato para dichos archivos en lenguaje Visual Basic. No obstante, dichos programas pueden modificaser con el fin de ejecutar tareas maliciosas en el ordenador de las víctimas. De hecho, pueden conducir a un ataque de ejecución remota de código.
Para entender qué es el ransomware Locky, es necesario saber que este programa usaba macros para esconder el virus en archivos de Word o Excel. Cuando el usuario hacía clic en el botón “Habilitar edición”, que sirve para ejecutar los macros, el malware procedía a conectarse a un servidor y descargar el ransomware Locky.
Ataque con archivo de JavaScript
Otro medio de ataque utilizado por el ransomware Locky era el uso de archivos JavaScript, que permitía esconder efectivamente este malware. Al analizar este archivo con programas antivirus, entornos virtuales y herramientas de análisis, ninguno sería capaz de identificar el ransomware. Dicho fichero tenía la apariencia de un archivo de oficina, pues llevaba el nombre de “Report_2100” o algún valor similar. El fichero pesaba alrededor de 21 Kb y se veía totalmente inofensivo.
Encriptación
Cuando se ejecutaban estos archivos, el ransomware se descargaba automáticamente desde un servidor oculto y comenzaba a funcionar de manera silenciosa en el ordenador. Mientras la víctima no se percataba, el software operaba en segundo plano y tomaba algún tiempo para cifrar cada uno de los archivos del ordenador. Asimismo, dejaba archivos de texto por doquier con instrucciones para realizar el pago del rescate.
En la nota de rescate, los atacantes avisaban al usuario de que sus datos se habían encriptado con algoritmos RSA de 2048 bits y AES de 256 bits. Para darles más información al respecto, incluían links de Wikipedia con explicaciones de cada uno de estos conceptos. Además, la nota llevaba instrucciones para realizar el pago con bitcoin a través de la red Tor.
¿Cómo aprender más?
Ahora sabes qué es el ransomware Locky, cuáles fueron sus medios de propagación y cómo cifraba los datos de los usuarios. Si quieres aprender más sobre análisis de malware y ciberseguridad, es el momento de echarle un vistazo al programa de nuestro Ciberseguridad Full Stack Bootcamp para especializarte en menos de 7 meses. ¿A qué sigues esperando para continuar con tu proceso de formación? ¡Inscríbete ya y persigue tus sueños hasta destacar en el sector IT!