Nova verzija opasnog ransomwarea Locky šifrovanim fajlovima dodaje ekstenziju ODIN

Opisi virusa, 03.10.2016, 09:00 AM

Nova verzija opasnog ransomwarea Locky šifrovanim fajlovima dodaje ekstenziju ODIN

Jedan od trenutno najopasnijih ransomwarea, pored ransomwarea Cerber i CryptXXX, ransomware Locky ponovo je ažuriran, tako da se kod nove verzije malvera odustalo od podrške za offline režim rada. Nova verzija Lockyja ima i novu ekstenziju koju dodaje šifrovanim fajlovima.

Sredinom jula, kriminalci koji stoje iza ransomwarea Locky objavili su novu verziju ransomwarea koja može da radi i bez veze sa internetom, u takozvanom "offline modu".

Ova verzija Lockyja distribuirana je pomoću pet spam botneta. Međutim, tri od ovih pet botneta koji distribuiraju Locky sa podrškom za offline mod, sada kontaktiraju online C&C server, kao što je to slučaj sa drugim verzijama Lockyja.

"Možda to nije radilo tako dobro kako su očekivali", kaže Moric Krol, stručnjak za malvere iz kompanije Avira. "Ili su samo bili previše znatiželjni u vezi broja uspešnih infekcija."

Nova verzija Lockyja šifrovanim fajlovima dodaje ekstenziju .ODIN. Prethodne verzije bile su prepoznatljive po ekstenziji .LOCKY, po kojoj je malver i dobio ime, ali i po ekstenziji .ZEPTO. Korisnici koji primete da je njihovim fajlovima dodata ekstenzija .ODIN treba da znaju da je u pitanju infekcija ransomwareom Locky.

Promenjen je i način infekcije. Prethodne verzije oslanjale su se na to da će žrtve preuzeti maliciozne ZIP fajlove koje dobiju putem spam emailova. Ovi fajlovi sadrže WSF ili JS fajlove koji, kada se pokrenu, preuzimaju i instaliraju maliciozni EXE fajl, koji je ustvari ransomware.

Bezbednosni istraživač @dvk01uk objavio je na Twitteru da više od mesec dana, počev od 24. avgusta, ovi WSF i JS fajlovi preuzimaju DLL fajl umesto EXE installera.

Ove, naizgled male i beznačajne promene, ustvari pomažu kriminalcima da izbegnu sigurnosne skenere i antivirusna rešenja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje