Ransomware Locky: propagación, protección y recuperación

El mes de Febrero confirmó pronto que 2016, al igual que el pasado 2015, seguiría siendo el año del ransomware. En dicho mes apareció una muestra conocida como Trojan-Ransom.Win32.Locky o, para los amigos, el ransomware Locky. Veamos cuáles son sus señas de identidad.

Introducción

Este ransomware (secuestrador de archivos para los profanos) he llegado nada menos que a 114 países a día de hoy, según confirman los laboratorios Kaspersky. Muchos particulares y empresas han comprobado con horror como esta nueva muestra cifraba sus archivos de disco y unidades de red, para posteriormente solicitar un rescate por ellos.

Se trata de una muestra de ransomware totalmente novedosa, su código ha sido escrito desde cero, quizá para evitar los pequeños errores que sus predecesores hayan podido cometer, haciéndolo más robusto.

Las señas de identidad de Locky

Para aterrizar en tu disco duro, lo que los cibercriminales han hecho es enviar campañas masivas de spam mediante emails, estando estos infectados con «loaders» o cargadores que infectan el pc. Se han visto al menos dos formas de propagación, diferentes en cuanto al contenido del mensaje:

• Inicialmente, mensajes de spam con un archivo DOC adjunto. Este archivo contiene una macro que descarga el troyano que controla a Locky, desde un servidor remoto.

Aquí podéis ver el contenido de la macro maliciosa empleada por este ransomware.

Aunque Microsoft Office bloquea las macros descargadas en sus últimas versiones, muchos usuarios acaban habilitando las mismas de manera manual.

• Aunque la forma anterior sigue en activo, ahora se ha sumado una nueva campaña de spam, esta vez incorporando un archivo ZIP comprimido. En esta carpeta encontraremos uno o varios scripts Javascript que se encargarán de soltar la carga maliciosa.

Aunque la mayoría de emails aparecerán en inglés, se han observado diferentes variantes, según el país objetivo.

Aquí podéis ver los nombres de los scripts, que el malware intentará que ejecutes para poder operar.

Propagación del ransomware Locky

Kaspersky ha publicado una estadística que representa el número de usuarios de sus productos que han sido afectados.

País	Número de usuarios afectados
Francia	469
Alemania	340
India	267
EEUU	224
Sudáfrica	182
Italia	171
Mejico	159
Brasil	156
China	126
Vietnam	107

Detalles técnicos

El troyano que contiene Locky es un archivo ejecutable muy pequeño, de unos 100 KB. Está construído sobre C++ utilizando STL, finalmente compilado con Visual Studio de Microsoft.

Cuando se ejecuta, se copia a sí mismo en la carpeta TEMP de Windows (concretamente en %TEMP%\svchost.exe) y borra el identificador NTFS asociado a su copia. Esto se hace para que, una vez que se lance el malware, Windows no muestre un aviso referente a que el archivo ha sido descargado de internet y es potencialmente dañino. El troyano se ejecuta desde %TEMP%.

Después, lo que hace es comprobar la presencia y contenidos de estas claves de registro:

Ruta	Valor
HKEY_CURRENT_USER\Software\Locky\id	ID de infección
HKEY_CURRENT_USER\Software\Locky\pubkey	Clave RSA pública en formato MSBLOB
HKEY_CURRENT_USER\Software\Locky\paytext	Texto mostrado a la víctima
HKEY_CURRENT_USER\Software\Locky\completed	Estado (si el cifrado de archivos está completo)

Después, se pondrá en contacto con su centro de Comando y Control, para recibir una clave pública RSA de 2048 bits de longitud, junto a un ID de infección. Todo esto quedará salvado en nuestro registro.

Pasos sucesivos

Hecho esto, el ransomware recopilará datos sobre el sistema operativo y lenguaje, para adaptar el mensaje con las demandas al usuario. Mientras, estará buscando en nuestro disco duro las extensiones de archivo específicas que le interesa arrebatarnos, para comenzar su cifrado. Las podéis ver a continuación:

NOTA: Ataca de igual forma a unidades de red, sin importar si tienen o no letra asignada.

• No se olvidará tampoco de borrar las Shadow Copies de Windows, si es que están habilitadas. Las Shadow Copies son las versiones anteriores de archivos, que el sistema guarda para poder recuperarlos si se da un fallo. Es uno de los pocos métodos de recuperación fáciles que tendríamos en este caso.

• El siguiente paso es asegurarse persistencia en el equipo, para lo que se registra como elemento de arranque automático en la clásica ruta HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

• Casi ha terminado su proceso y empezado nuestra pesadilla: ahora, veremos el mensaje con las demandas económicas de los atacantes, donde se nos informa de los pasos a seguir para recuperar los archivos.

• Se finaliza el proceso y, finalmente, el mismo desaparece de nuestro sistema, para evitar facilitar información sobre su funcionamiento a posibles analistas.

Demandas de este ransomware

Llega el momento de pagar, así que los cibercriminales siguen el modelo más seguro para ellos. Las víctimas deben pagar en la criptomoneda Bitcoin, que hace imposible rastrear la transacción para las autoridades. Para facilitar el pago, se dan algunas pautas para quien no sabe manejarse con esta moneda (que buena gente, después de todo :))

Ahora se nos convencerá para finalizar la operación (la URL puede aparecer en más de 20 idiomas a día de hoy) con lo que se nos facilitaría el software Locky Decryptor. ¿Deberías pagar? Obviamente, NO.

¿Cómo desinfectar un equipo infectado con Locky?

Como una imagen vale más que mil palabras, os dejo un vídeo donde lo explican bastante claro y para cualquier usuario con un conocimiento medio. Si no tenéis mucha idea sobre lo que hay que tocar, es mejor que podáis ayuda a alguien o formateéis el sistema por completo (no formato rápido).

Básicamente, lo que váis a hacer es lo siguiente:

1. Reiniciamos el sistema en modo seguro
2. Comprobamos el estado del archivo HOSTS de Windows (podría estar modificado)
3. Mostramos los archivos y carpetas ocultos
4. Desactivamos del menú de arranque aquellas entradas sospechosas (MSCONFIG)
5. Accedemos al registro y buscamos las entradas que contengan «Locky» para borrarlas
6. Abrimos Restaurar sistema para intentar devolverlo a un estado anterior. NOTA: no siempre funcionará.

¿Cómo recuperar archivos cifrados por Locky?

Las instantáneas de volumen de Windows nos permiten, si no son borradas por el ransomware, recuperar versiones anteriores de un mismo archivo. Por eso es importante apagar y desconectar el equipo de la red tan pronto seamos conscientes de la infección.

Shadow Explorer

Shadow Explorer es una herramienta destinada a buscar las shadow copies o «copias fantasma» de estos archivos, de forma mucho más cómoda, pues podremos hacerlo en lote, en lugar de archivo por archivo.

Bastará con abrir el programa y ver qué es capaz de detectar.

Software de recuperación profesional

Algunos programas para recuperación de archivos borrados accidentalmente (o que han perdido sus propiedades por algún fallo) nos serán de ayuda si lo anterior no da resultado. Os recomiendo probar alguna de las siguientes:

• ParetoLogic Data Recovery Pro
• Getdataback for NTFS
• Minitool Power Data Recovery

Copias de seguridad

Si fuísteis lo suficientemente previsores como para contar con una, qué duda cabe: la copia de seguridad es vuestra mejor opción. Pueden ser las copias de seguridad de Windows o algún programa especializado, como Ocster Backup, Veeam Backup, etc.

Recomendaciones finales

1. Recuerda no abrir archivos adjuntos, sin al menos saber antes si realmente proceden de una fuente de confianza.
2. Backups, backups, backups…crea copias de seguridad de tu sistema y archivos de valor. Prueba tus backups y guárdalos fuera del alcance de los malos.
3. No utilices software desfasado o peligroso, procura darle a tu sistema la mayor estabilidad y los mínimos puntos de entrada a un atacante.
4. Si mapeas unidades de red para compartir carpetas, procura que cada usuario tenga una diferente. Limitarás así el posible daño.

---

Más información en el análisis de SecureList.