Locky es un virus tipo ransomware que encripta los archivos de tu ordenador con el algoritmo AES-128. La forma de actuar el virus Locky es similar a CTB Locker, Cryptowall, Teslacrypt y Cryptolocker
Novedad del 13 de Mayo del 2016: Nueva versión del Locky que llega a traves del archivo adjunto 2.docm
. Lo que hace este archivo es ejecutar el fichero nbtv64cvh.exe
COMO ACTUA EL VIRUS LOCKY
1º El primer paso es como te infectas con este virus y suele ser a traves del correo electronico en mensajes de spam que llevan adjunto un archivo con extensión .doc
2º El archivo adjunto empieza el proceso de encriptación de los archivos, puede tardar unas horas o varias dias. La encriptación se produce con el algoritmo AES-128.
Durante este proceso puedes notar que tu equipo se ralentiza, los archivos encriptados cambian de extensio a .locky
3º Cuando acaba la ancriptación aparece una ventana en el que se te da la opción de recuperar tus archivos pagando una cantidad de dinero. Se supone que cuando pagas te envian un codigo para desencriptar los archivos y recuperarlos, aunque en realidad no hay ninguna garantia de que sea cierto.
SOLUCIONES PARA ELIMINAR EL VIRUS LOCKY
Si has sido atacado por este virus o sospechas que lo tienes, pasa a tu ordenador un anti-malware y un antivirus.
AVISO: Los anti-malware y antivirus no desencriptan archivos de ningún tipo.
¿Como recuperar los archivos encriptados?
En estos momentos no hay una solución perfecta, pero en cualquier caso tienes tres opciones:
1º Puedes usar alguna de estas herramientas para recuperar algun archivo : Kaspersky virus-fighting utilities, Photorec or R-Studio.
2º Puedes esperar hasta que alguien cree una herramienta para desencriptar el virus Locky (esto puede llevar mucho tiempo).
3º Eliminar manualmente el virus Locky
- Paso 1: Reinicia el windows en modo seguro
- Paso 2: Ejecute esta orden pulsando las teclas
Inicio + R y luego copiando y pegando
,libreta% windir% / system32 / drivers / etc / hosts
. Esta linea lo que hace es que aparezcan en el explodador de windows todos los archivos tanto del sistema como ocultos - Paso 3: Ejecute la orden
Msconfig
aparecera una ventana con ips. Elimine toda ip sospechosa. - Paso 4: Pulse las teclas
CTRL + SHIFT + ESC
y elimine todos los procesos sospechosos - Paso 5: Con la herramienta regedit de windows, localiza los siguientes registros y eliminalos.
%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%\[random].exe
HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed
HKCU\Control Panel\Desktop\Wallpaper
4º La última opción es realizar el pago que te piden, aunque es la menos recomendable ya que no hay ninguna garantia, ten en cuenta que estas pagando a los mismos que han infectado tu ordenador.
El aviso que recibes es:"!!! Información importante !!!! Todos sus archivos están encriptados con RSA-2048 y sistemas de cifrado AES-128. El descifrado de los archivos sólo es posible con la clave privada y el programa, que se encuentra en nuestro servidor secreto descifrar ".
El pago hay que hacerlo en la red Tor a traves de una pagina web .onion
SINTOMAS QUE TE INDICAN SI TU ORDENADOR ESTA INFECTADO
- Su página de inicio por defecto o motor de búsqueda serán redirigidos a sitios no deseados.
- Tu sistema funcionará más despacio y caerse al azar debido a la infección.
- Un montón de anuncios molestos causados por TrojanDownloader: JS / Locky.A inundarán en cada sitio al que acceda.
- El consumo de la CPU "siempre sube alto, aunque se acaba de ejecutar varios programas.