Desde mediados de agosto, el ransomware Locky ha reaparecido a través de una intensa campaña de spam malicioso.
Oculto por varios meses, Locky está usando la botnet Necurs para distribuir dos nuevas variantes del ransomware.
El malware se encuentra en archivos con código hecho en Visual Basic (.VBS) o JavaScript (.JS), que los ciberdelincuentes están utilizando para evadir el análisis automatizado realizado a través de sandboxes.
De acuerdo con los expertos de Malwarebytes, los autores de malware han utilizado los documentos Office engañosos con macros maliciosas que son ejecutadas de forma automática si la habilitación de macros está configurada de forma predeterminada o una vez que el usuario hace click en el botón ‘Habilitar contenido’.
La campaña de Locky en curso desde agosto no sólo ejecuta la macro sino que ahora espera a que sea cerrado el documento de Word falso para la ejecución de un conjunto de comandos.
Con dicho comportamiento, Locky aparenta un comportamiento inofensivo en muchos entornos limitados o sandboxes, infectando a los usuarios que lógicamente cerrarían el archivo al darse cuenta de que no hay nada que ver. El ransomware entonces haría su trabajo de forma oculta hasta mostrar la nota de rescate de los archivos bloqueados con cifrado RSA y AES.
El componente Anti-Exploit de Malwarebytes detiene esta amenaza, detectando y bloqueando la trampa del ransomware Locky utilizada en el cierre del documento Word.
En general, los componentes Anti-Malware, Anti-Exploit, Anti-Ransomware, y de protección de sitio web, de Malwarebytes están preparados para mitigar esta amenaza de Locky. [Malwarebytes en ASI]