qkG Ransomware, una macro de Word que puede encriptar nuestros archivos
Hoy en realidad tocaba artículo de las mejores herramientas para optimizar nuestro sistema, pero he leido la noticia sobre ciberseguridad que habla del qkG Ransomware, una macro de Word que puede encriptar nuestros archivos, y no he resistido la tentación de darle prioridad ha éste potencialmente peligroso Ramsomware.
Un Ramsomware en fase de pruebas
Primero que nada, tranquilidad, este «bicho» aún está en desarrollo y es mas una serie de «experimentos», que un ataque real a nuestra ciberseguridad (por el momento), el qkG Ramsomware fue descubierto por el investigador de seguridad de Trend Micro, Jaromir Horejsi, revisando los archivos que se subieron a la herramienta de revisión en línea «VirusTotal», de la cual ya hemos hablado antes aquí.
¿Cómo funciona el qkG Ramsomware?
qkG es un Ramsomware innovador, debido a que trabaja de una forma muy diferente a otros Ramsomware. La forma como funciona el proceso de infección de esta macro maliciosa es la siguiente:
- Paso 1. El usuario descarga y abre el archivo Word infectado.
- Paso 2. El usuario hace click en el botón «Habilitar edición», lo que permite la ejecución de código de macros, que en este caso es código VBA (Visual Basic for Applications).
El Ramsomware qkG está completamente programado dentro de la macro, lo cual es también diferente a cómo otros malware funcionan, pues generalmente la macro se usa para descargar y ejecutar un archivo malicioso externo.
- Paso 3. El Código qkG se ejecuta, pero aparentemente nada sucede. Y esto es porque la carga maliciosa (el código del Ramsomware) queda vinculada a la función «onClose» que sólo se ejecuta cuando el usuario cierra el archivo Word.
- Paso 4. El código malicioso se ejecuta tras cerrarse el archivo Word, y realiza los siguientes cambios:
- Desactiva varias configuraciones de seguridad, permitiendo que las macros se ejecuten de forma automática y la vista protegida queda deshabilitada.
- Agrega su carga maliciosa (la macro) al archivo de plantilla «normal.dot», que es la plantilla en la que se basan todos los archivos de word, y que es cargada cada vez que abrimos el Word.
- Encripta el contenido del documento utilizando una cifrado XOR sencillo, que podría ser sustituido por un método mas complejo en el futuro.
- Agrega una nota de «Rescate» al final del archivo actual. No cambia el nombre o extensión del archivo.
La nota de rescate es algo parecido a esto:
Procedimiento de propagación del gkG
El mayor problema con el qkG es que modifica el archivo de plantilla «normal.dot» y añade una copia de si mismo. Esto quiere decir que cuando el usuario abra Word, la copia modificada con el código malicioso se cargará y ejecutará, sobre cualquier archivo que el usuario abra, encriptando su contenido.
Si el usuario comparte alguno de estos archivos con otros usuarios, y habilitan la edición, también serán contaminados.
El peligro potencial
Este Ramsomware en particular esta en desarrollo, el verdadero peligro radica en su forma innovadora de usar código malicioso en macros para funcionar, que seguramente será copiado por otros para crear archivos maliciosos, recomienda redoblar las precauciones al indicar el «Habilitar edición» en Word de archivos de dudosa procedencia, incluso pensarse dos veces el simple hecho de descargar y abrir cualquier archivo adjunto.
Conclusiones
Todo esto nos demuestra una vez más, lo vulnerable que es nuestro sistema, y nos recuerda que la ciberseguridad no es una sola protección o programa, sino, muy por el contrario una serie de buenas prácticas, aplicaciones, y sentido común que nos mantienen «seguros».
Una pequeña lista de tips:
- Tener un antivirus. Y tenerlo actualizado.
- Descargar Antivirus, Firewall, Anti-Spayware de fuentes completamente originales (que ya sabemos, después del incidente de CCleaner que tampoco es una garantía al 100%)
- Contraseñas seguras y diferentes para cada servicio. Administrador de contraseñas sería util.
- Rotación o cambio de contraseñas periódica.
- No abrir, ni descargar archivos adjuntos a correos electrónicos que no hemos solicitado.
- Por norma general no seguir vínculos dentro de correos electrónicos.
- Cuidado con los supuestos cupones de ofertas, y proporcionar información personal en la red.
- No promover las “cadenas”, ni por correo electrónico, ni redes sociales.
- Cuidado con los email de phishing, que tratan de obtener nuestra información suplantando la identidad de proveedores o servicios legítimos.
- No, no tenemos familiares ricos en África que acaban de morir y dejar una fortuna para nosotros, ni existe una chica rusa que se muere de amor por nosotros, y necesita dinero para cuidar a sus familiares o para viajar a conocernos.
Y si aun no sabemos si el archivo que descargamos es seguro de abrir o no, siempre podemos pasar una revisión en línea usando el escáner de VirusTotal
[wp_ad_camp_2]
[sc name=»firma_general»]
[amazon_link asins=’B014VM3G3U,B00X9GK6QK,B006YBARCA,B014VM3GL2,B005FYNSZA,B01GK9921C,B015CH1JIW,B014VM3FMM,B008QGQZAE’ template=’ProductCarousel’ store=’blouliroldav-21′ marketplace=’ES’ link_id=’1a1f4879-caad-11e7-a106-9b6ea12fecca’