Parece que con el punto y final de la temporada estival los ataques spam de nuevo se encuentran a la orden del día. Expertos en seguridad han detectado el envío de correos electrónicos con asuntos muy variados que contienen scripts VB. La descarga y ejecución de estos permitiría la descarga e instalación de un ransomware muy conocido por la inmensa mayoría de usuarios: Locky.

Ya hemos tenido la oportunidad de hablar con anterioridad de un caso que puede resultar similar. La verdad es que sí lo es, pero con pequeñas diferencias. En ambos los scripts VB se comprimen en archivos con extensión .7z. La apertura de los mismos deja al descubierto el script que permitirá la descarga del instalador de la amenaza. En este caso solo es un instalador, el del ransomware Locky. Aunque se trata de una amenaza que podríamos considerar antigua y con bastante rodaje, aún son muchos los usuarios y empresas susceptibles de ser víctimas de este malware.

Consideramos que resulta bastante conocido para la mayoría de los usuarios. Sin ir más lejos, podríamos decir que es uno de los ransomware que más ha conseguido sembrar el caos en empresas y usuarios particulares. De sobra es conocido su funcionamiento: realizar el cifrado de la información almacenada en el sistema de archivos del equipo Windows infectado y posteriormente solicitar el pago de una cantidad para recuperar el acceso a la información.

Sobre el contenido del mensaje de correo electrónico, se trata de engañar al usuario con la distribución de un mensaje en el que se informa de un problema con una factura. Sin embargo, debe saltar a la vista que la dirección de correo no pertenece a ningún servicio conocido. Esto debería convertirse en algo significativo que debería provocar que el usuario proceda a la eliminación directa del mensaje sin realizar la descarga de su contenido.

Los servicios de correo deberían actuar contra el mensaje y los antivirus contra el instalador de Locky

Al tratarse de un mensaje spam similar al caso que ya hemos tratado anteriormente, los mecanismos de seguridad de los servicios de correo electrónico deberían ser capaces de bloquear la llegada a la bandeja de entrada de este mensaje. Si por cualquier motivo esta desviación no se produce y el usuario realizar su apertura y descarga del contenido, las herramientas de seguridad deberían realizar el bloqueo de forma contundente y sin ningún problema de la instalación.

Expertos en seguridad indican que se trata de una versión antigua de Locky la que se está distribuyendo, de ahí que las herramientas de seguridad deberían ser capaces de realizar de forma correcta su trabajo.

En caso de infección ransomware no realizar el pago

Cuando hacemos frente a este tipo de situaciones, lo más importante es saber en cada momento qué es lo que tenemos que hacer. Si hablamos de Locky, lo más importante es no realizar el pago de la cantidad demandada. Es cierto que la amenaza refleja en un mensaje que con el pago de la cantidad se recuperará el acceso a los archivos. Sin embargo, esto no es así en la mayoría de las ocasiones. La mejor forma de combatir estas infecciones es realizar el formateo del equipo o restablecer el sistema a un estado previo, ayudándonos de forma paralela de copias de seguridad de la información que se ha visto afectada.