Este nuevo y potente ataque de ransomware se está distribuyendo a partir de un correo electrónico que se hace pasar por el equipo de Marketplace de Amazon y que finalmente resulta ser un mensaje falso con un archivo adjunto que al abrirlo consigue infectarnos y ser víctimas de una variante del ya conocido ransomware Locky.

Mucho cuidado si recibes un mail aparentemente de Amazon con una factura adjunta

Concretamente, el mensaje de correo lleva el asunto “Invoice RE-2017-09-21-00102“, pudiendo variar los últimos números entre distintos usuarios, por lo que hace referencia a una factura de algo que el usuario que lo recibe supuestamente habría comprado en Amazon. Además, va acompañado de un mensaje en el que se agradece la compra realizada en Amazon y se aprovecha para enviar la factura correspondiente. El mensaje exacto del correo en castellano es el siguiente:

Estimado cliente:
Aprovechamos este email para decirle “¡Muchas gracias por su compra!”
Adjunta en este email, encontrará su factura
Un cordial saludo
El Marketplace de Amazon
 amazon1-1

En el cuerpo del mensaje viene el logotipo de Amazon y como remitente aparece una dirección de correo que no hace sospechar de algo fraudulento nada más verlo puesto que es uJLHsSYOYmvOX@marketplace.amazon.co.uk y puede hace pensar que efectivamente es Amazon quien nos envía el mensaje.

Adjunto al correo viene un fichero que simula ser la factura a la que hacen referencia, pero se trata de un fichero que contiene una variante del malware Locky que se ejecuta nada más intentar abrir el archivo. A continuación, Locky se encarga de eliminar cualquier copia de seguridad que tengamos en nuestro equipo Windows y posteriormente comienza a cifrar todos los archivos almacenados en el disco duro.

Una vez finaliza su tarea, el propio Locky hace que se muestre una ventana en el ordenador infectado que anuncia al usuario que ha sido infectado, que toda su información está cifrada y los pasos que debe seguir si quiere volver a recuperar todos los archivos de su ordenador. Esto conlleva tener que realizar un pago por el rescate de los mismos, que además, no garantiza al 100% que vayamos a poder recuperarlos.

Desde Panda Security se alerta de este modus operandi y se ruega que tengamos la máxima precaución a la hora de recibir un correo de estas características si no queremos ser víctima de este nuevo ramsonware.

 

Fuente: pandasecurity | adslzone