- El documento ID-09/16 Ransom.Locky está disponible en el portal del CCN-CERT
- En tan sólo dos meses desde su aparición, este código dañino ha sido detectado por el Sistema de Alerta Temprana de Internet (SAT-INET) en 231 ocasiones (el 42% del Ransomware localizado en lo que llevamos de año).
- El malware se instala principalmente a través de documentos de Word enviados por correo electrónico o visitando una página web comprometida desde un navegador no actualizado.
El CCN-CERT ha publicado en la parte pública de su portal el Informe de Código Dañino: CCN-CERT ID-09/16 Ransom.Locky, un malware cuya primera aparición conocida data del 16 de febrero de este año y que se ha ido modificando en tres ocasiones. Este código dañino, que ha sido detectado en 231 ocasiones a través del Sistema de Alerta Temprana del CCN-CERT (en las administraciones públicas y en empresas españolas de interés estratégico), también está siendo especialmente peligroso en hospitales estadounidenses.
El informe recoge el análisis de este Ransomware que se distribuye mayoritariamente mediante documentos Word con macros dañinas, visitando una página web comprometida con un “Exploit Kit” desde un navegador no actualizado o ejecutando el código dañino si se realiza una descarga por una red P2P.
Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características técnicas
- Cifrado y ofuscación
- Persistencia en el sistema
- Conexiones de red
- Archivos relacionados
- Detección
- Desinfección
- Información del atacante
- Reglas de detección (Indicador de Compromiso y Yara)
Comunicado CCN-CERT (26-04-2016)
