Locky
Locky es un malware de tipo ransomware lanzado en 2016. Se distribuye por correo electrónico (supuestamente una factura que requiere pago) con un documento de Microsoft Word adjunto que contiene macros maliciosas. Cuando el usuario abre el documento, parece estar lleno de texto sin sentido e incluye la frase «Habilite las macros si la codificación de datos es incorrecta», una técnica de ingeniería social. Si el usuario habilita las macros, se guarda y ejecuta un archivo binario que descarga el troyano de cifrado real, que cifrará todos los archivos que coincidan con extensiones específicas. Los nombres de los archivos se convierten en una combinación única de 16 letras y números. Inicialmente, solo se utilizaba la extensión de archivo .locky para estos archivos cifrados. Posteriormente, se han utilizado otras extensiones de archivo, como .zepto, .odin, .aesir, .thor y .zzzzz. Tras el cifrado, un mensaje (que se muestra en el escritorio del usuario) le indica que descargue el navegador Tor y visite un sitio web específico operado por delincuentes para obtener más información. El sitio web contiene instrucciones que exigen el pago de un rescate de entre 0,5 y 1 bitcoin (en noviembre de 2017, el valor de un bitcoin oscilaba entre 9000 y 10 000 dólares en el mercado de intercambio de bitcoins). Dado que los delincuentes poseen la clave privada y controlan los servidores remotos, las víctimas se ven motivadas a pagar para descifrar sus archivos. Las criptomonedas son muy difíciles de rastrear y son muy fáciles de transferir.
| LOcky | ||
|---|---|---|
 | ||
| Información general | ||
| Tipo de programa | Ransomware | |
| Desarrollador | Necurs | |
| Licencia | GNU General Public License | |
| Idiomas | Inglés | |
Locky es un malware de tipo ransomware lanzado en 2016. Se distribuye por correo electrónico (supuestamente una factura que requiere pago) con un documento de Microsoft Word adjunto que contiene macros maliciosas.[1] Cuando el usuario abre el documento, parece estar lleno de texto sin sentido e incluye la frase «Habilite las macros si la codificación de datos es incorrecta», una técnica de ingeniería social. Si el usuario habilita las macros, se guarda y ejecuta un archivo binario que descarga el troyano de cifrado real, que cifrará todos los archivos que coincidan con extensiones específicas. Los nombres de los archivos se convierten en una combinación única de 16 letras y números. Inicialmente, solo se utilizaba la extensión de archivo .locky para estos archivos cifrados. Posteriormente, se han utilizado otras extensiones de archivo, como .zepto, .odin, .aesir, .thor y .zzzzz. Tras el cifrado, un mensaje (que se muestra en el escritorio del usuario) le indica que descargue el navegador Tor y visite un sitio web específico operado por delincuentes para obtener más información.
El sitio web contiene instrucciones que exigen el pago de un rescate de entre 0,5 y 1 bitcoin (en noviembre de 2017, el valor de un bitcoin oscilaba entre 9000 y 10 000 dólares en el mercado de intercambio de bitcoins). Dado que los delincuentes poseen la clave privada y controlan los servidores remotos, las víctimas se ven motivadas a pagar para descifrar sus archivos.[2][3][4] Las criptomonedas son muy difíciles de rastrear y son muy fáciles de transferir.[5]
Operación
[editar]El mecanismo de infección más común consiste en recibir un correo electrónico con un documento de Microsoft Word adjunto que contiene el código. El documento es incomprensible y solicita al usuario que habilite las macros para poder verlo. Al habilitar las macros y abrir el documento, se activa el virus Locky.[2] Una vez iniciado, el virus se carga en la memoria del sistema del usuario, cifra los documentos como archivos hash.locky, instala archivos .bmp y .txt, y puede cifrar los archivos de red a los que el usuario tiene acceso.[6] Esta ruta es diferente a la de la mayoría de los programas de rescate, ya que utiliza macros y archivos adjuntos para propagarse, en lugar de instalarse mediante un troyano o utilizar un exploit previo.[7]
Actualizaciones
[editar]El 22 de junio de 2016, Necurs lanzó una nueva versión de Locky con un nuevo componente de carga, que incluye varias técnicas para evitar la detección, como detectar si se está ejecutando dentro de una máquina virtual o dentro de una máquina física, y la reubicación del código de instrucciones.[8]
Desde el lanzamiento de Locky, han aparecido numerosas variantes que utilizan diferentes extensiones para los archivos cifrados. Muchas de estas extensiones reciben el nombre de dioses de la mitología nórdica y egipcia. Cuando se lanzó por primera vez, la extensión utilizada para los archivos cifrados era .Locky. Otras versiones utilizaban las extensiones .zepto, .odin, .shit, .thor, .aesir y .zzzzz para los archivos cifrados. La versión actual, lanzada en diciembre de 2016, utiliza la extensión .osiris para los archivos cifrados.[9]
Métodos de distribución
[editar]Desde que se lanzó el ransomware Locky, se han utilizado muchos métodos de distribución diferentes. Estos métodos de distribución incluyen kits de explotación,[10] archivos adjuntos de Word y Excel con macros maliciosas,[11] archivos adjuntos DOCM[12] y archivos adjuntos JS comprimidos.[13]
El consenso general entre los expertos en seguridad para protegerse del ransomware, incluido Locky, es mantener actualizados los programas instalados y abrir solo los archivos adjuntos de remitentes conocidos.
Cifrado
[editar]Locky utiliza el cifrado RSA-2048 + AES-128 con modo ECB para cifrar archivos. Las claves se generan en el lado del servidor, lo que hace imposible el descifrado manual, y el ransomware Locky puede cifrar archivos en todas las unidades fijas, unidades extraíbles, unidades de red y unidades de disco RAM.[14]
Prevalencia
[editar]Se informa que Locky se envió a aproximadamente medio millón de usuarios el 16 de febrero de 2016, y que inmediatamente después del ataque los atacantes aumentaron su distribución a millones de usuarios.[15] A pesar de la nueva versión, los datos de Google Trend indican que las infecciones han disminuido alrededor de junio de 2016.
Vector de correo electrónico no deseado
[editar]Un ejemplo de mensaje con Locky como archivo adjunto es el siguiente:
Estimado (nombre del usuario):
Adjuntamos nuestra factura por los servicios prestados y los gastos adicionales en el asunto mencionado anteriormente.
Esperando que lo anterior sea de su satisfacción, quedamos a su disposición.
Atentamente,
(nombre del usuario)
(título aleatorio)
Referencias
[editar]- ↑ Gallagher, Sean (17 de febrero de 2016). «“Locky” crypto-ransomware rides in on malicious Word document macro». Ars Technica (en inglés). Consultado el 25 de enero de 2026.
- ↑ a b «“Locky” ransomware – what you need to know». Naked Security (en inglés estadounidense). 17 de febrero de 2016. Archivado desde el original el 19 de diciembre de 2019. Consultado el 25 de enero de 2026.
- ↑ «Locky Ransomware: Dridex Actors Get In The Game | Proofpoint US». Proofpoint (en inglés estadounidense). 6 de abril de 2016. Consultado el 25 de enero de 2026.
- ↑ «Locky ransomware: How this malware menace evolved in just 12 months». ZDNET (en inglés). Consultado el 25 de enero de 2026.
- ↑ Ryan, Matthew (24 de febrero de 2021). Ransomware Revolution: The Rise of a Prodigious Cyber Threat (en inglés). Springer Nature. ISBN 978-3-030-66583-8. Consultado el 25 de enero de 2026.
- ↑ Beaumont, Kevin (17 de febrero de 2016). «Locky ransomware virus spreading via Word documents». Medium (en inglés). Consultado el 25 de enero de 2026.
- ↑ News, The Hacker. «How Just Opening an MS Word Doc Can Hijack Every File On Your System». The Hacker News (en inglés). Consultado el 25 de enero de 2026.
- ↑ «Necurs Botnet is Back, Updated With Smarter Locky Variant». Threatpost (en inglés). 23 de junio de 2016. Consultado el 25 de enero de 2026.
- ↑ «Locky Ransomware Information, Help Guide, and FAQ». BleepingComputer (en inglés estadounidense). Consultado el 25 de enero de 2026.
- ↑ «Malware-Traffic-Analysis.net - 2016-12-23 - Afraidgate Rig-V from 81.177.140[.]7 sends "Osiris" variant Locky ransomware». www.malware-traffic-analysis.net. Consultado el 25 de enero de 2026.
- ↑ Abrams, Lawrence. «Locky Ransomware switches to Egyptian Mythology with the Osiris Extension». BleepingComputer (en inglés estadounidense). Consultado el 25 de enero de 2026.
- ↑ « Locky Ransomware Distributed Via DOCM Attachments in Latest Email Campaigns». www.trellix.com. Consultado el 25 de enero de 2026.
- ↑ «Locky Ransomware Now Embedded in Javascript». blog.cyren.com (en inglés). Archivado desde el original el 28 de mayo de 2017. Consultado el 25 de enero de 2026.
- ↑ «What is Locky Ransomware?». What is Locky Ransomware? (en inglés). Consultado el 25 de enero de 2026.
- ↑ «New ‘Locky’ Ransomware Virus Spreading At Alarming Rate: Can The Malware Be Removed And Files Decrypted?». iDigitalTimes.com (en inglés). 19 de febrero de 2016. Archivado desde el original el 28 de agosto de 2016. Consultado el 25 de enero de 2026.
| Control de autoridades |
|
|---|
Datos: Q22920668