Una nueva oleada de spam JavaScript distribuye el ransomware Locky

Recientemente muchos ordenadores de toda Europa y de otros lugares se han visto afectados por una campaña masiva de spam que escondía un JavaScript malicioso adjunto que instalaba Locky, un programa de ransomware.

La firma de antivirus ESET observó un aumento en la detección de JS/Danger.ScriptAttachment, un programa de descarga de malware en Java Script que empezó el 22 de mayo y alcanzó su punta máxima el 25 de mayo. Muchos países europeos se han visto afectados, aunque los índices más altos se han detectado en Luxemburgo (67%), República Checa (60%), Austria (57%), Países Bajos (54%) y Reino Unido (51%). La telemetría de datos de la compañía también mostró tasas importantes en Canadá y Estados Unidos.

El JS/Danger.ScriptAttachment puede descargar varios programas de malware, pero últimamente se ha estado utilizando principalmente para distribuir Locky, un programa malicioso muy extendido que utiliza una encriptación fuerte para mantener secuestrado los archivos de los usuarios.

Herramienta gratuita

Locky no tiene ningún defecto conocido que permita a los usuarios desencriptar de forma gratuita sus archivos, pero investigadores de seguridad de Bitdefender han desarrollados una herramienta gratuita que permite prevenir las infección de Locky. La herramienta hacer parecer que el ordenador ya está infectado por Locky añadiendo ciertas banderas inofensivas que consiguen engañar al malware.

El uso de archivos basados en JavaScript para distribuir Locky empezó a principios de año, lo que llevó a Microsoft a publicar un aviso en abril. Los adjuntos suelen ser generalmente archivos .zip que contienen  archivos .js o .jse en su interior. Estos archivos se pueden ejecutar directamente en Windows sin necesidad de aplicaciones adicionales.

Sin embargo es poco habitual que la gente envíe aplicaciones legitimas escritas en javaScript vía correo electrónico, por los que los usuarios deben tener cuidado al abrir este tipo de archivos.