Archivos .locky? .arrow? @tutanota?? Virus!

  • -

Archivos .locky? .arrow? @tutanota?? Virus!

De pronto no encontrás tus archivos habituales y en su lugar una larga lista de nombres alfanuméricos, todos terminados en .locky, .java, .arrow o casi cualquier otra, ya que algunas versiones de virus generan extensiones aleatorias en los archivos encriptados.

Según ESET, se trata del Win32/Filecoder.Locky.A. Para Microsoft, Ransom:Win32/Locky.A. Y cada marca de antivirus lo llama de una forma diferente, pero similar. Pa´los amigos: Locky. Pero vamos a llamarlos en general rasomware, para no enumerar una interminable lista de parientes de una familia que crece a diario. Ya pasó CryptoWall, WannaCry, Arrow y siguen las firmas.

La cuestión es que Locky suele venir empaquetado en un archivo .doc adjunto a un e-mail. Cuando intentás abrir el archivo aparece la habitual advertencia de seguridad de Office respecto a los posibles macros perjudiciales contenidos en archivos recibidos pero con la, tambien habitual, seguridad de que “no pasa nada”, le diste aceptar. Otras versiones se entregan dentro de archivos .pdf, .zip, ejecutables varios y, últimamente, encontramos casos (de la variedad que genera los archivos .java o .arrow) que penetra por fuerza bruta en equipos con el acceso por escritorio remoto habilitado y cuyas contraseñas no son del todo seguras.

El caso es que pocos segundos después  del contagio, tu fondo de pantalla pudo mutar en un mensaje que, sintetizando, te pide dinero a cambio de tu información perdida. Algo así:

locky-rescate

No te preocupes si te faltó esta parte. Parece que Locky y el resto de sus primos usan para este último acto de su obra, porciones de programación archiconocidas por casi todos los antivirus y al intentar mostrar el cartelito, el sistema de seguridad lo reprime. Tarde, porque el daño a esta altura ya fue hecho.

Tengo antivirus? Entonces mi antivirus no sirve?

Si. Bueno… no en este caso, pero sí. Valga como explicación la respuesta dada por el soporte de AVG a uno de sus clientes (pagos!):

AvinashAvinash (AVG Technologies) 

Hello Richard,
We apologize for the inconvenience caused. AVG blocks many of them but unfortunately you got what is called a “zero day” vulnerability — in other words, you were infected by a very new form of the malware before it had been reported to us and so before we could add its signature to our database and block it.
When AVG detects the malware, it will remove it from your PC, but this will not de-crypt your files.If you have backup copies, you should use them. If you do not have backups, please start to keep multiple backups. Thank you.
De nuevo sintetizando: “Disculpame che, pero hacemos lo que podemos”. Pudo haber dicho “a llorar al campito” o utilizar alguna frase Maradoniana que no voy a transcribir, pero hablando (escribiendo) en serio, lo cierto es que los antivirus responden más o menos rápido a los reportes de virus que van recibiendo. Descubro un virus hoy, mañana con suerte sale la actualización que te protege. Pero, hoy, estás expuesto. Otra parte importante del mensaje, muy clarificadora de la situación por cierto, es que si tenés backup podés recuperar tus archivos desde allí. Si no los tenías, es un buen momento para empezar a tenerlos, pero la información la perdiste. Chau. Dice tambien que AVG no desencripta los archivos. Y, aunque no lo dice aquí, tampoco los desencripta ESET, ni Norton, ni Security Essentials, ni Defender, ni Dios.
Tal como pasó con Cryptolocker ( Sin backup, podés perder todos tus archivos en cualquier momento. ) , virus de la misma familia de la cual muy probablemente descienda este bastardo, es posible que dentro de un par de años aparezca la herramienta para recuperar, aunque sea parcial y defectuosa, la información perdida. Pero por el momento es imposible.
Sólo en esta última semana me ha tocado lidiar con dos casos, en empresas desconectadas entre sí. Proyectando un poco el porcentaje respecto a mi clientela, puedo sospechar que la cantidad de infectados ya debe ser, o lo será pronto, abrumadora.
De hecho, ahora que estoy editando este post, debo decir que en los últimos dos años los casos se multiplicaron. Más llamativo, pero no demasiado inesperado, muchos de los casos afectaron varias veces a las mismas víctimas. Esto me convence de que aunque los virus evolucionan y las técnicas de contagio se vuelven más y más sofisticadas, el punto de acceso sigue siendo un usuario con conductas negligentes, despreocupadas o por lo menos ingenuas. Lo leí por allí y lo repito hasta el hartazgo: el peor virus de tu compu muchas veces está entre el teclado y la silla.
La buena noticia es que, por lo menos en los casos que me tocaron, Locky parece menos devastador que sus primos Cryptolocker y CriptoWall. Estos encriptaban absolutamente todo el contenido de cuanta unidad pudieran acceder en un brevísimo tiempo: documentos, planillas, imágenes, ejecutables y bases de datos en discos internos, externos, unidades de red y lo que fuese a lo que tuvieran acceso desde el equipo infectado. Locky, en cambio, parece haber encriptado sólo un par de centenares de archivos en las carpetas que estaban en uso en el momento de la infección. Sin embargo, según la documentación recabada hasta el momento, busca y encripta los archivos con las siguientes extensiones:
  • .123
  • .602
  • .3dm
  • .3ds
  • .3g2
  • .3gp
  • .7z
  • .aes
  • .ARC
  • .asc
  • .asf
  • .asm
  • .asp
  • .avi
  • .bak
  • .bat
  • .bmp
  • .brd
  • .c
  • .cgm
  • .class
  • .cmd
  • .cpp
  • .crt
  • .cs
  • .csr
  • .CSV
  • .db
  • .dbf
  • .dch
  • .dif
  • .dip
  • .djv
  • .djvu
  • .DOC
  • .docb
  • .docm
  • .docx
  • .DOT
  • .dotm
  • .dotx
  • .fla
  • .flv
  • .frm
  • .gif
  • .gpg
  • .gz
  • .h
  • .hwp
  • .ibd
  • .jar
  • .java
  • .jpeg
  • .jpg
  • .js
  • .key
  • .lay
  • .lay6
  • .ldf
  • .m3u
  • .m4u
  • .max
  • .mdb
  • .mdf
  • .mid
  • .mkv
  • .mml
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .ms11
  • .ms11 (Security copy)
  • .MYD
  • .MYI
  • .NEF
  • .odb
  • .odg
  • .odp
  • .ods
  • .odt
  • .otg
  • .otp
  • .ots
  • .ott
  • .p12
  • .PAQ
  • .pas
  • .pdf
  • .pem
  • .php
  • .pl
  • .pl
  • .png
  • .pot
  • .potm
  • .potx
  • .ppam
  • .pps
  • .ppsm
  • .ppsx
  • .PPT
  • .pptm
  • .pptx
  • .psd
  • .qcow2
  • .rar
  • .raw
  • .rb
  • .RTF
  • .sch
  • .sh
  • .sldm
  • .sldx
  • .slk
  • .sql
  • .SQLITE3
  • .SQLITEDB
  • .stc
  • .std
  • .sti
  • .stw
  • .svg
  • .swf
  • .sxc
  • .sxd
  • .sxi
  • .sxm
  • .sxw
  • .tar
  • .tar.bz2
  • .tbk
  • .tgz
  • .tif
  • .tiff
  • .txt
  • .uop
  • .uot
  • .vb
  • .vbs
  • .vdi
  • .vmdk
  • .vmx
  • .vob
  • .wav
  • .wb2
  • .wk1
  • .wks
  • .wma
  • .wmv
  • .xlc
  • .xlm
  • .XLS
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .xml
  • .zip

(hubiese sido más eficiente poner “casi todos“, pero detallados así queda como más escalofriante, no? )

Atención, porque Locky está programado para repetir el proceso cada vez que se inicie el equipo o por lo menos hasta que detecta que encriptó el último archivo disponible y ahí se desactiva. A cada reinicio, más archivos dañados hasta que logra su cometido. Entonces, antes de seguir toqueteando y reiniciando, vamos a lo importante.
Pero ya podés dejar de sonreir: la buena noticia termina ahí. Sus primos se propagan por las unidades de red, discriminan el tipo de archivo que van a encriptar, para sólo perder tiempo en aquellos cuya destrucción cause más daño (mdb, exe, xls, doc… bah…lo que usás) despreocupándose de .ini, .cfg y dlls que de todas formas por sí sólas no te van a servir de mucho).
Y hasta ahora, las herramientas de desencriptado de los archivos se publican tarde y en general luego de que los propios creadores del virus publican las claves e cifrados de aquellas versiones de virus que ya no piensan usar… muy probablemente para desalentar a la competencia que hubiese comenzado a aprovecharse de su negocio, tratando de lucrar con los virus que ellos crearon con tanto esfuerzo… ponéle.

Eliminando el virus

Si bien el daño es irreparable, eliminar el virus es bastante sencillo.

  1. Como primera medida, para no empeorar las cosas, es importante desconectar, apenas se descubre el problema, cualquier unidad de almacenamiento externo (discos, pendrives…) e incluso la red, especialmente si se maneja en un entorno que comparte archivos mediante unidades de red.
  2. Mediante el administrador de tareas (pulsando las teclas Windows + R tipeando luego en la ventana que aparece el comando taskmgr.exe), en la solapa Procesos dar click derecho sobre cualquier proceso desconocido/sospechoso y Finalizar tarea. Especial atención a los procesos con nombres alfanuméricos, aunque en uno de los casos tratados estaba disfrazado como svchost.exe, un proceso normal de Windows que es habitual además aparezca listado muchísimas veces.
  3. Haciendo uso de Hijackthis (o alguno similar), eliminar cualquier entrada tipo 04 (Run / Run Once / Global Startup) que haga referencia a Locky o svchost.exe (no confundir con las entradas tipo 023 en las que encontrarías decenas de svchost.exe legítimos del sistema!)
  4. En el panel de control, modificar las Opciones de Carpeta / Opciones del Explorador, para mostrar los archivos ocultos y desocultar los archivos protegidos de sistema.
  5. Buscar cualquier carpeta sospechosa y eliminarla. En las dos infecciones que traté el componente principal del virus parecia estar en la carpeta boostinterprocesses dentro de Program Data. Y esto me llamó particularmente la atención, especialmente porque se trataba en ambos casos de Windows XP y la carpeta Program Data recien apareció en Windows 7… Pero esta ubicación seguramente no es exclusiva porque la info ya disponible en la web indica muchísimas ubicaciones diferentes (carpetas c:\temp, %temp%, App Data\Local\[nombre alfanumérico aleatorio], …)
  6. Quitar el disco y conectarlo a un equipo sano y con un sistema operativo actualizado (No XP!!!!!) y lo mismo para el antivirus. Hacer desde esa computadora en examen completo del disco con su antivirus.
  7. Descargar MalwareBytes , instalarlo en este equipo limpio, esperar todas las actualizaciones y realizar un examen completo del disco afectado.
  8. Desactivar inmediatamente cualquier herramienta de sincronización en la nube: Google Drive Sync and BackUp, OneDrive, iCloud, DropBox, la que sea: cuando el virus ataca la carpeta de almacenamiento en tu PC, el motor de sincronización llevará la peste a la nube y la recuperación posterior puede complicarse mucho si no es que directamente se vuelve imposible.

Esto sería lo mínimo imprescindible como para salir adelante. Pero siendo que te quedará infinidad de basura encriptada y el virus parece bastante elaborado y mutante la mejor solución es, a mi entender, rescatar en un backup lo que no haya sido destruído, formatear y reinstalar todo desde cero.

Si todavía no te tocó, tené en cuenta que…

  1. No abras archivos adjuntos que no esperabas, de remitentes desconocidos o aún de súper conocidos y confiables que no hayas revisado antes con un buen antivirus. Si te infectaste, obviamente fallaste este punto. No importa lo que digas: vos sabés que te equivocaste feo…
  2. Desactivar los macros de Office por default y sólo ejecutarlos en archivos conocidos. Nunca permitir macros en un archivo adjunto a un correo o descargado de internet sin antes asegurarse en un 100% su confiabilidad.
  3. Realizar copias de seguridad diarias y mantener al menos una copia offline (en una unidad externa que, finalizado el backup, se desconecta del equipo) con la mayor frecuencia posible. El backup contenido en un disco conectado al equipo en el momento de la infección, probablemente tambien sea afectado.
  4. Mantener el sistema operativo constantemente actualizado. Si tu copia no original de Windows no admite actualizaciones, bueno… solucionalo ya.
  5. Windows XP ya no recibe actualizaciones de seguridad desde hace rato largo, estuvo en el mercado casi 20 años y los delincuentes lo pueden manipular como se les dé la gana. Si tus aplicaciones no toleran la actualización del sistema operativo buscá alternativas inmediatamente: basar tu empresa en un sistema antiguo te expone a daños irreparables.
  6. Cualquier antivirus conocido es bueno: Kaspersky, Panda, Avira, AVG, Avast, Norton, Microsoft, Eset… cada uno con sus ventajas y desventajas respecto al rendimiento de la computadora, precio, abuso de publicidades y ofertas en sus versiones gratuitas… pero elegí uno y mantenelo siempre actualizado. Está probado (de hecho por eso se origina el tema de esta nota) que ninguno es infalible y TODOS son vulnerables a las nuevas variantes de virus especialmente los primeros días de su aparición (zero-day), por lo que caemos de vuelta al punto 5: BACKUP. Nunca son suficientes. Lo que abunda no sobra.

Valga decir que, gracias a los imbéciles que pagan el rescate, este tipo de virus se hace cada vez más rentable para los delincuentes y vamos a convivir cada vez con más variedades, seguramente mejor elaboradas, más peligrosas y mucho más dañinas.

Backup. O alpiste…

 

 

 


    Buscar en JADM

    Biblioteca