top of page

Descoberto Novo crypto-ransomware Locky que usa macros maliciosas do Word

  • Carlos Castro
  • 7 de mar. de 2016
  • 1 min de leitura

Recentemente foi descoberto um novo tipo de crypto-ransomware usando um método de distribuição incomum. Esta ameaça foi Chamada de “Locky“. Esta ameaça se infiltra no sistema através de uma macro maliciosa encontrada em um documento do Word.

O Locky entra nos sistemas das vítimas por emails disfarçado de fatura, com um documento Word anexado contaminado com macros maliciosas.

Conceito de Ransomware (sequestro)

Malware que criptografa arquivos do usuário ou todo o sistema operacional a fim de cobrar um resgate ($$$) para que o usuário recupere acesso a seus arquivos. Ao pagar o resgate, teoricamente o usuário recebe a chave criptográfica usada para criptografar o sistema, garantindo novamente o acesso aos arquivos.

Método de ataque

Macro maliciosa injetada em um documento do Word. O atacante envia um email com o doc de word infectado para vítima. Ao baixar e executar o arquivos, se a vítima possuir a função de macro habilitada, o malware é executado. O malware criptografa arquivos do sistema, deixando-os com extensão .locky. Uma nota de resgate em variados idiomas é deixada em todos os diretórios que foram criptografados. A mensagem direciona as vítimas para uma rede Tor para fazerem pagamentos em Bitcoins (0,5 BTC).



Ativos vulneráveis


Máquinas com WORD. com a função de MACRO habilitada. Por padrão, esta função vem desabilitade desde o word 2007. Solução A: A Trend Micro detecta essa variante de ransomware como RANSOM_LOCKY.A. Antivirus deve estar sempre atualizado. Outros antivirus já possuem vascinas para esta ameaça. Solução B: Desativar macros do WORD, se habilitado.


Solução C: Conscientizar o usuário a não abrir arquivos que possam ser maliciosos.

Fonte:

http://blog.trendmicro.com.br/novo-crypto-ransomware-locky-usa-macros-maliciosas-do-word/#.Vt2BNuaVlFW

https://blog.malwarebytes.org/intelligence/2016/03/look-into-locky/

http://community.hpe.com/t5/Security-Research/Feeling-even-Locky-er/ba-p/6834311#.VtyC-M3iuV7

Comments

bottom of page