{"id":6884,"date":"2016-03-25T13:03:38","date_gmt":"2016-03-25T13:03:38","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=6884"},"modified":"2019-11-22T03:01:12","modified_gmt":"2019-11-22T09:01:12","slug":"locky-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/locky-ransomware\/6884\/","title":{"rendered":"Tricky Locky: el ransomware que roba a los hospitales americanos"},"content":{"rendered":"<p>M\u00e9dicos y pacientes de todo el mundo: \u00a1Cuidado! \u00a1Los cibercriminales tienen un nuevo miembro en la familia! Con tan solo un mes de edad, el <em>ransomware<\/em> ya consigui\u00f3 cifrar los archivos de dos hospitales americanos y ya recaud\u00f3 17,000 d\u00f3lares para sus creadores.<\/p>\n<p class=\"Body\" style=\"text-align: justify;line-height: normal\">El nombre de este \u201creci\u00e9n nacido\u201d es Locky, y ha ido ganando una r\u00e1pida notoriedad a nivel mundial tras su nacimiento. \u00bfLa raz\u00f3n? Porque <a href=\"https:\/\/threatpost.com\/locky-ransomware-borrows-tricks-from-dridex\/116304\/\" target=\"_blank\" rel=\"noopener nofollow\">infect\u00f3<\/a> los informes m\u00e9dicos del centro m\u00e9dico Hollywood Presbyterian en Los \u00c1ngeles. S\u00ed, el hospital se paraliz\u00f3 y finalmente <a href=\"http:\/\/www.npr.org\/sections\/thetwo-way\/2016\/02\/17\/467149625\/la-hospital-pays-hackers-nearly-17-000-to-restore-computer-network\" target=\"_blank\" rel=\"noopener nofollow\">pag\u00f3<\/a> 17,000 d\u00f3lares para recuperar sus informes.<span style=\"font-family: 'Trebuchet MS',sans-serif\"><br>\n<\/span><\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Locky?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Locky<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Ransomware<\/a> Borrows Tricks from Dridex via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/4VRyAas6pY\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/4VRyAas6pY<\/a> <a href=\"https:\/\/t.co\/JO43afN7hq\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/JO43afN7hq<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/700427833781440512?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 18, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La nueva v\u00edctima fue el Hospital Methodist en Henderson, Kentucky. Se trata de un centro de cuidados intensivos con 217 camas. Para detener la infecci\u00f3n, el hospital tuvo que apagar todas las computadoras de su red. La administraci\u00f3n del hospital est\u00e1 cooperando con el FBI y revisando uno por uno cada dispositivo. Algunos de los datos podr\u00e1n recuperarse mediante las copias de seguridad. En comparaci\u00f3n con los ataques de hospitales anteriores, este solo pidi\u00f3 un rescate de 1,600 d\u00f3lares. Sin embargo, los funcionarios del Hospital Methodist declararon que solo pagar\u00e1n en caso de que empeore la situaci\u00f3n.<\/p>\n<p>https:\/\/twitter.com\/JGavin14News\/status\/711956381637726209<\/p>\n<p>Las aventuras de Locky en Kentucky empezaron con una carta, como suele hacerlo. El pasado viernes, un empleado del hospital recibi\u00f3 un correo de <em>spam<\/em> y abri\u00f3 el archivo adjunto que descarg\u00f3 el <em>ransomware<\/em> desde el servidor de los criminales, dejando entrar a Locky en su red. El troyano r\u00e1pidamente copi\u00f3 todos los datos del dispositivo, los cifr\u00f3 y elimin\u00f3 los originales. A su vez, Locky comenz\u00f3 su viaje a trav\u00e9s de la red corporativa del hospital, y solo pudo ser detenido al apagar todas las computadoras.<\/p>\n<p>Anteriormente, Locky se distribu\u00eda a trav\u00e9s de documentos con <em>script<\/em> malicioso que descargaba el troyano desde servidores remotos. Despu\u00e9s, los criminales modificaron su t\u00e1ctica y cambiaron a carpetas comprimidas con JavaScript, descargando tambi\u00e9n el troyano desde sus servidores y ejecut\u00e1ndolo. La mayor\u00eda de las cartas maliciosas estaban en ingl\u00e9s, pero tambi\u00e9n hab\u00eda correos electr\u00f3nicos escritos en dos idiomas simult\u00e1neamente.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Hospitals?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Hospitals<\/a> are under attack\u2026 what's at risk? <a href=\"https:\/\/t.co\/b1WYjQgpfY\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/b1WYjQgpfY<\/a> via <a href=\"https:\/\/twitter.com\/61ack1ynx?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@61ack1ynx<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Infosec<\/a> <a href=\"https:\/\/t.co\/euuJ8041U0\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/euuJ8041U0<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/713003737187532800?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 24, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Seg\u00fan <a href=\"https:\/\/latam.kaspersky.com\/blog\/como-funciona-kaspersky-security-network\/5482\/\" target=\"_blank\" rel=\"noopener\">Kaspersky Security Network<\/a>, Locky suele atacar en mayor proporci\u00f3n a usuarios de Alemania, Francia, Kuwait, India, Estados Unidos, Italia, Espa\u00f1a y M\u00e9xico. Hasta donde sabemos, este troyano no est\u00e1 interesado en los usuarios de Rusia y los pa\u00edses de la Comunidad de Estados Independientes.<\/p>\n<p>Cabe destacar que Locky es un troyano muy curioso, ya que recopila estad\u00edsticas detalladas sobre cada v\u00edctima, lo que es muy inusual para un <em>ransomware<\/em>. Este entusiasmo puede deberse a los intereses monetarios de los criminales: esta actividad los ayuda a determinar el valor de los archivos cifrados para poder pedir rescates individuales y obtener un mayor beneficio.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Seguramente, Locky no fue creado para atacar instituciones m\u00e9dicas concretamente. Los expertos en seguridad <a href=\"https:\/\/threatpost.com\/locky-ransomware-causes-internal-state-of-emergency-at-kentucky-hospital\/116949\/\" target=\"_blank\" rel=\"noopener nofollow\">est\u00e1n seguros<\/a> de que los criminales cazar\u00e1n a cualquier usuario que dependa en gran parte de sus datos, como los abogados, los funcionarios m\u00e9dicos, los arquitectos, etc.<\/p>\n<p>En resumen, las soluciones de Kaspersky Lab protegen a los usuarios contra Locky en varios niveles de defensa multicapa:<\/p>\n<ol>\n<li>El m\u00f3dulo <em><a href=\"https:\/\/latam.kaspersky.com\/blog\/anti-spam-protege-tu-inbox\/5647\/\" target=\"_blank\" rel=\"noopener\"><strong>anti-spam<\/strong><\/a><\/em> detecta correos electr\u00f3nicos maliciosos enviados por los cibercriminales.<\/li>\n<li>Los <strong>antivirus integrados en el correo electr\u00f3nico y los archivos <\/strong>detectan la transferencia de <em>scripts<\/em> y advierten al usuario. Nuestras soluciones detectan estos <em>scripts<\/em> como: Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent y HEUR:Trojan-Downloader.Script.Generic.<\/li>\n<li><strong>El antivirus para archivos <\/strong>reconoce los archivos ejecutables y advierte al usuario de que Trojan-Ransom.Win32.Locky ha sido detectado.<\/li>\n<li>El<strong> m\u00f3dulo de agente del sistema<\/strong> de <a href=\"https:\/\/kas.pr\/KIS16LAT\" target=\"_blank\" rel=\"noopener\">Kaspersky Internet Security<\/a> encontrar\u00e1 incluso muestras del <em>ransomware<\/em> Locky y notificar\u00e1 al usuario de su detecci\u00f3n con el nombre de PDM:Trojan.Win32.Generic. Adem\u00e1s, no permitir\u00e1 que el troyano cifre los archivos de tu disco duro, as\u00ed que no habr\u00e1 <em>ransomware<\/em> que pueda robar o cifrar tus datos para pedirte dinero.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Locky, el ransomware reci\u00e9n nacido ha cifrado datos de pacientes en dos hospitales de Estados Unidos. Explicando este nuevo dilema y c\u00f3mo detenerlo. <\/p>\n","protected":false},"author":522,"featured_media":6885,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,6,2737],"tags":[284,279,2440,1724,472,38],"class_list":{"0":"post-6884","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-privacy","10":"tag-datos","11":"tag-kaspersky-internet-security","12":"tag-locky","13":"tag-medicina","14":"tag-ransomware","15":"tag-seguridad"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/locky-ransomware\/6884\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/locky-ransomware\/5373\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/locky-ransomware\/3769\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/locky-ransomware\/6916\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/locky-ransomware\/8015\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/locky-ransomware\/7800\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/locky-ransomware\/11382\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/locky-ransomware\/11667\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/locky-ransomware\/5427\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/locky-ransomware\/6121\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/locky-ransomware\/7295\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/locky-ransomware\/10849\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/locky-ransomware\/11382\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/locky-ransomware\/11667\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/locky-ransomware\/11667\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/datos\/","name":"datos"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6884","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/522"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=6884"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6884\/revisions"}],"predecessor-version":[{"id":16095,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6884\/revisions\/16095"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/6885"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=6884"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=6884"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=6884"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}