Si eres de esos usuarios que descarga todo tipo de archivos desde el correo electrónico o de los enlaces que recibes, debes tener mucho cuidado. Un nuevo malware está infectando equipos a través de archivos de Word, por lo que comprueba cualquier archivo de Word antes de abrirlo si no quieres acabar infectado.
AstraLocker, es el causante de lanzar una segunda cepa de su versión principal para infectar un archivo Word que van adjuntos en un correo electrónico y que te infecta tu equipo con solo abrir dicho archivo. Aunque el usuario tendrá que ejecutarlo antes.
AstraLocker 2.0 dentro de un archivo de Word
El nuevo malware secuestrador de equipos llamado "AstraLocker 2.0" ha llegado con en una nueva forma de infectar los equipos de muchos usuarios. Este malware utiliza un archivo de Word y dentro de él podemos encontrar un "objeto OLE" con la carga del ramsonware.
El archivo infectado tiene el este nombre "WordDocumentDOC.exe", su extensión en la que debemos evitar, pues los archivos ".exe" infectan a los equipos con tan solo hacer doble clic sobre ellos, ya que los ejecutamos al momento. Por suerte, este archivo antes de ser ejecutado muestra un cuadro de diálogo en el que tendrás que pulsar en “Ejecutar” para infectar el equipo.
Este malware cuenta con un empaquetador tan antiguo que la ingeniería inversa es casi imposible, por lo que la infección es mucho mayor de lo esperado. Tras ejecutar el malware, el equipo comienza a cifrarse con el algoritmo "Curve25519".
AstraLocker basa su código fuente en el código filtrado de Babuk, un ramsonware con errores que a día de hoy sigue siendo peligroso y que volvió el pasado septiembre de 2021.
Para poder recuperar los archivos de su equipo, los creadores del malware añaden en su nota de secuestro una serie de instrucciones en la que se tendrá que hacer un pago de $50 a través de Monero o Bitcoin. Según podemos ver en la nota.
El secuestrador del equipo asegura que tras el pago la víctima podrá volver a recuperar sus archivos cifrados, pero claro, si pensamos en frío, el secuestrador podría volver a infectar nuestro equipo o podría haber dejado una “puerta trasera” por la que volver a entrar a nuestro equipo.
Como conclusión, deberemos tener muy en cuenta qué tipo de archivos abrimos cuando los recibimos por correo electrónico, más aún si lo que recibimos es de una persona desconocida y es un archivo ejecutable como el que hemos nombrado más arriba.
Vía: Bleeping Computer
- Ver Comentarios