Ransonware Locky está anexando la extensión .ODIN a los archivos cifrados
Detectado por primera vez en febrero, cuando se destacó porque podía cifrar archivos en recursos compartidos de red sin asignar , Locky cambiaba originalmente el nombre a los archivos cifrados por [id_exclusivo] .locky[identificador]. A principios del verano, los investigadores revelaron que Locky cambió a la extensión .zepto , que ha sido utilizado en varias campañas desde entonces.
Ahora, Locky está anexando la extensión .ODIN a los archivos cifrados, que está creando una cierta confusión, ya que las víctimas pueden creer que han sido infectados con una nueva variante ransomware. Sin embargo, desde BleepingComputer, Lawrence Abrams señala que este no es un ransomware llamado Odin, sino que es el conocido Locky, que está utilizando la extensión .ODIN en lugar de .zepto.
Al igual que antes, la nueva versión del software malicioso se distribuye a través de correos electrónicos no deseados que contiene archivos de comandos como archivos adjuntos. Tan pronto como el destinatario abre el archivo adjunto, el código malicioso en estos archivos de comandos descarga un instalador DLL cifrado, después de lo cual descifra y ejecuta para infectar el sistema con Locky.
Una vez ejecutado, el ransomware cifra los archivos del usuario, cambiando el nombre de ellos, y agregando la extensión .ODIN. A continuación, el malware visualiza notas de rescate en el sistema para informar al usuario sobre el ataque. En esta nueva variante, los nombres de las notas de rescate han sido cambiados por_HOWDO_text.html, _HOWDO_text.bmp, y _ [] 2_digit_number _HOWDO_text.html.
Recientemente, Locky también está utilizando un servidor de comando y control (C & C), cambiándolo a un modo sin conexión de nuevo como lo hizo a mediados de julio . En ese momento, el cambio hecho lo hace más difícil para los administradores de TI y los investigadores de seguridad para detener las infecciones por Locky, porque bloquear las conexiones de C & C ya no tiene el efecto deseado.
Ahora, los investigadores de Avirarevelan que el ransomware ha cambiado de nuevo a la utilización de servidores C & C, mientras que también informan que sólo pocos afiliados continúan utilizando el modo sin conexión. Si bien no hay información sobre lo determinado exactamente, los operadores de Locky aún no han revertido el cambio, Avira explica que el uso de un modo sin conexión es un arma de doble filo para los cibercriminales.