Locky

¿Qué es?

Locky, también llamado Ponik, es un malware de tipo ramsonware que se enfoca en infectar dispositivos Windows para cifrar sus archivos y exigir un rescate para liberar los datos.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

Modifica el sistema afectado y crea claves de registro para generar persistencia.
Cifra los archivos de las víctimas con un algoritmo de cifrado fuerte, como RSA-2048 y AES-128, lo que impide el acceso a los datos.
Cambia las extensiones de los archivos afectados a extensiones específicas, como .locky o .zepto.
Genera una nota de rescate en el sistema afectado, que solicita a la víctima que pague una cantidad de dinero en criptomonedas (generalmente, Bitcoin) para recuperar el acceso a sus archivos.
Utiliza una capa de ofuscación para ralentizar el proceso de análisis y evitar su detección con herramientas de volcado de memoria automatizadas.
Mapea el código dañino a una región creada dinámicamente para dificultar el análisis del código y evitar su detección con herramientas de volcado de procesos.
Utiliza el algoritmo DGA (Domain Generation Algorithm) para generar dominios de mando y control de forma pseudo-aleatoria con los que conectar para descargar la clave pública del cifrado, registrar la infección, enviar la nota de rescate y realizar otras actividades maliciosas.

Sistemas afectados

Los principales dispositivos afectados son:

Sistemas con Microsoft Windows.

¿Cómo me infecta?

Este malware se propaga a través de correos electrónicos maliciosos disfrazados de facturas falsas o documentos legítimos, que contienen archivos adjuntos con macros maliciosas que, al ejecutarse, descargan el ransomware. Además, en ocasiones también se distribuye mediante programas de explotación (exploit kits) que aprovechan vulnerabilidades no parcheadas en los sistemas.