Virus Locky: Com arriba, com actua, què cal fer

Des de l’Àrea de Tecnologies hem tingut avís d’algun correu que ha arribat  a comptes de la universitat amb el virus Locky, un virus ransomware,  que actua segrestant les nostres dades pel mètode del xifratge.

En aquesta entrada us expliquem com arriba, com actua i què cal fer.

COM ARRIBA

El xifrat d’arxius de virus Locky  és distribuït via correu electrònic amb un adjunt que té com a tema una factura adjunta, pot tenir diferents títols :“Invoice J-98223146”; “Factura FN53105269”; “Se incluye la factura aclarativa adjunta”… El missatge ens demana que obrim una factura adjunta (.DOC, .XLS, .ZIP).

Aquí teniu diferents exemples:

locky1locky2locky3COM ACTUA

L’ arxiu adjunt de correu electrònic conté un document de Word o un full de càlcul d’Excel,  sigui amb un script de macro o un objecte OLE incrustat que quan s’executa infectarà el PC.

La majoria d’aquests documents de Word maliciosos estan en blanc o amb caràcters estranys que el fan illegible com l’exemple:

locky4Per defecte, la “vista protegida” està habilitada i les macros estan deshabilitades.

Si el document s’obre amb la “visualització protegida” (a priori ha de ser el valor per defecte en Office 2010, 2013, 2016 i 365) demanarà habilitar les macros per poder-lo llegir

locky5Algunes versions intentem enganyar avisant que el document té  una clau RSA digital i que cal permetre l’edició i macros per veure el contingut.

QUÈ CAL FER

No habiliteu macros sota cap circumstància. Si desactiveu la visualització protegida, les macros s’habilitaran i serà infectat.

Com sempre cal extremar les precaucions: No obrir adjunts o clicar enllaços de remitents desconeguts ni facilitar mai les nostres credencials. Esborreu el correu directament.

Si desconfieu d’algun correu que rebeu consulteu la web on informem dels últims phishings detectats o contacteu amb el PAU .

2 comentaris a “Virus Locky: Com arriba, com actua, què cal fer

  1. Pues si el Cryptolocker fue dañino (aunque conseguí un remedio para recuperar archivos) el nuevo que me ha llegado con CreditControl@ub.edu (lleva el texto de unas facturas, pero todo en inglés) todavía lo es más. Encripta todo con ZEPTO y de momento no hay forma de desencriptarlo.

  2. Retroenllaç: Nou cas de virus: Factura falsa d’Endesa | BlogTIC UB

Deixa un comentari

L'adreça electrònica no es publicarà.