Ransomware en un PDF

Enmascarado en un Word

Dani Castillo

big

9 junio 2017

Hace algo más de un mes que lleva circulando un ransomware (aparte del archiconocido WannaCry) que no se ha publicitado demasiado, pero es importante avisar de él.
Se trata de una variante de Locky que está encapsulada dentro de la macro de un documento Word que a su vez está dentro de un fichero PDF.
Los antivirus generalmente escanean los documentos de Word en busca de macros, pero al estar dentro de un PDF no pueden escanearlo igual.
El proceso además conlleva varios pasos muy elaborados.
A saber:

  • Primero, se recibe un mail con un PDF adjunto
  • Al abrirlo, nos pide abrir un documento de Word que hay dentro del PDF.
PDF
  • Con un sutil truco de ingeniería social consiguen que habilites la edición en el documento, dando paso así a la ejecución de la macro VBA que descarga y ejecuta el ransomware.
word

Como siempre, la máxima recomendación que te podemos hacer para protegerte de este tipo de ataques es que uses el SENTIDO COMÚN.

  • Mantén tu equipo actualizado. Esa norma de que "si algo funciona, no lo toques"... no aplica a actualizaciones de Windows.
  • Si recibes un mail con adjuntos, analiza muy bien de quién es, si estabas esperando ese mail o no, etc.
  • ¿Habilitar macros en un documento recibido por mail? Va a ser que no.
  • Además, y aunque suene obvio, siempre intenta usar antivirus!!!
  • Como extra, si tienes posibilidad, intenta guardar copias online de tus documentos importantes, de tal manera que en caso de infección no pierdas toda tu información.

Y como siempre os digo, usando las palabras del Sargento Phil Esterhaus de Hill Stree Blues:
Let's be careful out there.

Loading...