Autor Tema: Locky ransomware ahora utiliza la extensión .ODIN a los archivos cifrados  (Leído 619 veces)

0 Usuarios y 1 Visitante están viendo este tema.

  • Desconectado Príncipe_Azul

    • while (1):
    • *
    • Sexo: Masculino
    • Mensajes: 89
      Ingreso: julio de 2015
      • Ver Perfil
      • Foro ArgentinaIRC - Ayuda de Programación General, IRC y mIRC Scripting
    • ar
    • Texto Personal
      Colaborador
    Locky ransomware ahora utiliza la extensión .ODIN a los archivos cifrados



    Locky, una de las familias ransomware más prolíficas de este año, ha cambiado su modus operandi, una vez más, mediante la adopción de una nueva extensión que se anexa a los archivos cifrados.

    Detectado por primera vez en febrero, cuando se destacó porque podía cifrar archivos en recursos compartidos de red sin asignar, Locky cambiaba originalmente el nombre a los archivos cifrados por [id_exclusivo] .locky [identificador]. A principios del verano, los investigadores revelaron que Locky cambió a la extensión .zepto , que ha sido utilizado en varias campañas desde entonces.

    Ahora, Locky está anexando la extensión .ODIN a los archivos cifrados, que está creando una cierta confusión, ya que las víctimas pueden creer que han sido infectados con una nueva variante ransomware. Sin embargo, desde BleepingComputer, Lawrence Abrams señala que este no es un ransomware llamado Odin, sino que es el conocido Locky, que está utilizando la extensión .ODIN en lugar de .zepto.

    Al igual que antes, la nueva versión del software malicioso se distribuye a través de correos electrónicos no deseados que contiene archivos de comandos como archivos adjuntos. Tan pronto como el destinatario abre el archivo adjunto, el código malicioso en estos archivos de comandos descarga un instalador DLL cifrado, después de lo cual descifra y ejecuta para infectar el sistema con Locky.

    Una vez ejecutado, el ransomware cifra los archivos del usuario, cambiando el nombre de ellos, y agregando la extensión .ODIN. A continuación, el malware visualiza notas de rescate en el sistema para informar al usuario sobre el ataque. En esta nueva variante, los nombres de las notas de rescate han sido cambiados por _HOWDO_text.html, _HOWDO_text.bmp, y _ [] 2_digit_number _HOWDO_text.html.

    Recientemente, Locky también está utilizando un servidor de comando y control (C & C), cambiándolo a un modo sin conexión de nuevo como lo hizo a mediados de julio . En ese momento, el cambio hecho lo hace más difícil para los administradores de TI y los investigadores de seguridad para detener las infecciones por Locky, porque bloquear las conexiones de C & C ya no tiene el efecto deseado.

    Ahora, los investigadores de Avira revelan que el ransomware ha cambiado de nuevo a la utilización de servidores C & C, mientras que también informan que sólo pocos afiliados continúan utilizando el modo sin conexión. Si bien no hay información sobre lo determinado exactamente, los operadores de Locky aún no han revertido el cambio, Avira explica que el uso de un modo sin conexión es un arma de doble filo para los cibercriminales.

    Cita
    "Por un lado, al no dar información al C & C - y una dirección IP - que permita a la red Locky mantenerse fuera de la vista de las fuerzas del orden y de los investigadores de seguridad. Pero, por otro lado, reduce las oportunidades de los delincuentes puedan saber sobre la eficacia de las campañas individuales de distribución Locky administrados por sus afiliados ", señala Avira.


    Fuente: http://www.forospyware.com/t525100.html
    « Última Modificación: 03 octubre de 2016, 01:59 am por Príncipe_Azul »
    Foro de Ayuda de Programación General, IRC y mIRC Scripting: 

    Foro de Artesanías, Recetas de cocina, Ropa para perros, Tejidos, Bijouterie, Porcelana, Chocolatería, Fondos de pantalla, Noticias, Belleza, Medicina natural, Videos y Programas:

  • Conectado Rock Lee

    • *
    • Mensajes: 581
      Ingreso: enero de 2014
      • Ver Perfil
      • La nueva era del conocimiento
    • ar
    • Texto Personal
      Digitalizando tu Mundo
    Re:Locky ransomware ahora utiliza la extensión .ODIN a los archivos cifrados
    « Respuesta #1 : 03 octubre de 2016, 12:00 pm »
    Si algo he leído sobre los Ransomware, es algo realmente esta pegando duro en regiones latinoamericanas... ya he tenido varias preguntas sobre ello dejando en claro la infraestructura informática actual a nivel latino no es la adecuada a nuevos tiempos, se requiere un poco mas de conciencia a la hora estar conectado. Muy buena informacion @Príncipe_Azul ;)


    Saludos Familia!

  • Desconectado Sopel

    • [L0] Ladrón de espacio en la BD
    • Sexo: Masculino
    • Mensajes: 1
      Ingreso: abril de 2017
      • Ver Perfil
    • es
    • Texto Personal
      Bienvenidos/as a Bomber Code
    ¡Hola! ¿Es posible eliminar el ransomware de .wallet de la PC y restaurar archivos bloqueados? Porque ya he intentado hacerlo manualmente usando ShadowExplorer y esta guía - pero desafortunadamente no ayudó.
    No tengo dinero para pagar a los hackers :(

  • Conectado Rock Lee

    • *
    • Mensajes: 581
      Ingreso: enero de 2014
      • Ver Perfil
      • La nueva era del conocimiento
    • ar
    • Texto Personal
      Digitalizando tu Mundo
    ¡Hola! ¿Es posible eliminar el ransomware de .wallet de la PC y restaurar archivos bloqueados? Porque ya he intentado hacerlo manualmente usando ShadowExplorer y esta guía - pero desafortunadamente no ayudó.
    No tengo dinero para pagar a los hackers :(

    Sino me equivoco los de ESET habian hecho una herramienta para poder salvar archivos de algunos ransomware, no he llevado el apunte si toma .wallet aunque se lo han estado actualizando. Se ah mejorado mucho el malware fixeando el codigo (por eso podías aplicar la inversa) pero ahora es mucho mas difícil... bajo ningún punto de vista se debe pagar mas muchos generan el cifrado aleatorio sin enviar dicho código hacia ellos, en pocas palabras espera pagues y contentos te dejan a la de dios... voy a tratar de investigar a ver si logro encontrar algo sino queda formatear todo revisando que no quede rastros del rasomware, tener particiones te ayudaba mucho pero en versiones mas recientes también apuntaban a los diferentes direcciones tienes en la maquina según fui leyendo (no se si aplica a tu caso).


    Saludos Familia!
    « Última Modificación: 23 abril de 2017, 11:40 pm por Rock Lee »

    Desconectado Juttovil

    • [L0] Ladrón de espacio en la BD
    • Mensajes: 1
      Ingreso: mayo de 2017
      • Ver Perfil
    • it
    • Texto Personal
      Bienvenidos/as a Bomber Code
       Simultáneamente con el grupo Locky en Internet propagación de un virus peligroso  onion ransomware.
    La extensión de archivo .onion es un indicador de compromiso que acompaña a la última operación de ransomware de Dharma. Esta familia de virus criptográficos tiene un montón de antecedentes, con altibajos, así como descargas inesperadas de claves de descifrado maestro que se produjeron dos veces en los últimos seis meses. Independientemente de la edición, este vicioso contagio digital ha estado aplicando consistentemente un robusto mecanismo criptográfico que frustra el descifrado. En otras palabras, cuando se enfrentan a ella, las víctimas se encuentran en problemas y corren el riesgo de perder todos los archivos personales, documentos, imágenes, bases de datos, videos y otros tipos de datos.
     No me sorprendería que estos troyanos, los mismos autores, ya que los virus son muy similares. Hay una descripción del problema en español http://guia-paginas.com/onion-ransomware/???

     

    Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21