Locky es un ransomware que desde febrero está atacando unidades de disco duro fijo, removible, ramdisks, y unidades de red. Se está haciendo popular debido a su amplia difusión.
Típicamente Locky llega al equipo a través de archivos con formato Office de Microsoft diseñados especialmente para ransomware y que son entregados como adjuntos por correo electrónico, por supuesto en campañas del tipo phishing para simular que provienen de algún sitio legítimo y atraer a las víctimas.
Locky se distingue por usar código de macros para Office y que una vez que el usuario habilita inicia la ejecución del malware para descargar el ransomware que cifrará todos los archivos objeto de Locky, incluyendo vídeos, imágenes, y archivos de Office.
Los expertos de Malwarebytes han hecho un análisis de Locky. El ransomware incluye un ejecutable con malware diseñado para sistemas Windows y cifra los archivos utilizando cifrado RSA y AES.
Locky llama la atención porque cataloga con un ID a la víctima y al archivo afectado. Estos IDs son utilizados por Locky al re-nombrar el archivo cifrado, para lo cual utiliza el ID de la víctima, el ID del archivo y la extensión .LOCKY. El ID de la víctima son los primeros 16 caracteres del nombre del archivo una vez que fue cifrado.
Una vez terminada la tarea de cifrado, Locky muestra la típica pantalla solicitando el pago de dinero Bitcoin por el rescate de los archivos, una cantidad equivalente a $400 USD. A diferencia de otro ransomware que utiliza archivos HTML para la nota de rescate, Locky utiliza una imagen de mapa de bits que coloca como fondo de pantalla del computador.