Son muchas las actualizaciones que una amenaza de este tipo puede recibir. Una prueba de ello es el modo offline que el ransomware Locky recibió hace algún tiempo. Pero todo parece indicar que tras varias versiones los responsables de la misma no están del todo convencidos y han optado por eliminar esta forma de funcionamiento en la versión actual.
Con esta versión activa, suponía un funcionamiento totalmente distinto de lo visto hasta el momento en la mayoría de las amenazas de este tipo. Esto quiere decir que en vez de depender de un servidor de control remoto, la amenaza era capaz de subsistir de forma autónoma, es decir, sin necesitar una conexión de una Internet.
Locky se ha distribuido hasta este momento haciendo uso de 5 botnets. Desde la pasada semana tres de ellas han comenzado a distribuir de nuevo la versión de la amenaza que depende de un servidor de control y dos de ellos aún distribuyen la que podría considerarse standalone. Sin embargo, es probable que a los ciberdelincuentes no les haya dado tiempo a realizar el cambio en todas ellas.
Algunos expertos en seguridad se han pronunciado respecto a este movimiento, confirmando que es probable que el funcionamiento no sea el correcto, y de ahí que hayan tomado esta decisión y volver al modelo de conexión de versiones anteriores.
Locky ahora añade la extensión ODIN
Primero hacía uso de .LOCKY para que de alguna forma el usuario identificase los archivos afectados por el cifrado del ransomware. Pero con la llegada de la última versión esta ha cambiado y a partir de ahora la extensión pasa a ser .ODIN.
También ha cambiado un poco el método de infección, ya que con anterioridad se producía la descarga de archivos JS o WSF, algo que ya no es así, distribuyendo en la actualidad librerías dinámicas o ejecutables .exe, por lo que resulta redundante indicar que la amenaza continúa afectando a dispositivos Windows.
Sí que es verdad que de vez en cuando se introducen pequeño cambios y muchos piensan que es contraproducente. Pero lo que se quiere conseguir con esto no es otra cosa que ganar tiempo con respecto a las herramientas de seguridad y que los datos de los equipos de los usuarios continúen cifrados mucho más tiempo.
Fuente | Softpedia