Locky es un troyano ransomware que se introduce en los sistemas Windows a través de la función macro de Word y cifra todos los datos del usuario. El troyano sólo libera estos datos tras el pago de un «rescate». Damos algunos consejos sobre la configuración de macros de Word y, por tanto, sobre la protección contra este tipo de plagas.
En realidad, Microsoft Word con la configuración correcta y un antivirus actualizado debería proteger contra los troyanos de macros. Hay varias razones por las que esto no es así:
En primer lugar, no todos los usuarios siguen utilizando uno de los escáneres de virus «adecuados», como el ganador frecuente de la prueba ESET (último Computerbild 02 /2016), aunque incluso estos no ofrecen una protección absoluta.
Protección contra macros
En segundo lugar, los usuarios a menudo ejecutan archivos adjuntos aunque no conozcan al remitente. La amenaza actual «Locky» demuestra lo peligroso que es esto. Este troyano utiliza las funciones de macros de Microsoft Word, que, sin embargo, están configuradas por defecto para que no se ejecuten macros.
En Word 2013 o Word 2016, puede encontrar la configuración para ello en Archivo -> Opciones -> Configuración del Centro de confianza -> Configuración de macros.
En el caso de Office 2016, también se puede impedir la ejecución de macros en todo el sistema a través de una directiva de grupo.
Las versiones anteriores de Office ocultan la configuración en Archivo -> Opciones -> Centro de seguridad -> Configuración del centro de seguridad -> Configuración de macros (Word 2010) u Office -> Opciones -> Centro de confianza -> Configuración del centro de confianza -> Configuración de macros (Office 2007).
El truco del troyano: tras abrir los archivos adjuntos, piden al usuario que permita la función de macro. Haga esto sólo con archivos de fuentes en las que confíe plenamente. ct tiene algunos consejos más sobre cómo comportarse si se ve afectado por el troyano.
Günter Born ha tratado recientemente el tema con gran detalle en su blog y presenta algunas soluciones en el artículo ¿Qué protege contra Locky y otros ransomware? que, en parte, también pueden poner en práctica los usuarios menos experimentados.
Nuevas puertas de enlace
Como se ha dado a conocer en los círculos de seguridad, el troyano ahora también utiliza archivos Javascript para propagarse, que se envían por correo electrónico. Por tanto, no ejecute ningún archivo adjunto de remitentes en los que no confíe plenamente. Otros lenguajes de script como bat, cmd, vbs y wsf también son puertas de entrada típicas.
Protección mediante copias de seguridad
Un medio eficaz de protección es -como en muchos otros casos- una copia de seguridad actualizada, que debería almacenarse en soportes de datos que no estén conectados al sistema actual: De lo contrario, Locky también estaría activo aquí. La BSI también ha resumido algunos consejos sobre cómo comportarse en la situación actual.
Intrograph © Chanye – Fotolia.com