Novi talas spam emailova koji šire ransomware Locky

Opisi virusa, 28.07.2016, 08:00 AM

Novi talas spam emailova koji šire ransomware Locky

Locky je ransomware koji se pojavio početkom godine i od tada je neprestano evoluirao. Ali jedna od stvari koja je ostala ista svih ovih meseci je payload - JavaScript fajl umetnut u ZIP fajl koji korisnici dobijaju putem emaila.

Fajl je obično sadržao downloader, malicioznu komponentu koja je preuzimala sam Locky koji bi se onda pokrenuo na računaru.

Nove verzije ransomwarea Locky poznate su i pod nazivom Zepto.

20. jula primećen je novi talas infekcija ovim ransomwareom. Ono što se promenilo je da se sada isporučuje ceo kod ransomwarea unutar JavaScript fajla.

Istraživači kompanije Cyren odmah su primetili promenu u veličini ZIP fajla, koji je porastao od nekoliko KB na više od 250 KB. Oni su primetili mnogo više koda u JS fajlu nego što ga je bilo ranije.

Kada se JS fajl pokrene, Locky će biti sačuvan u folderu Temp, posle čega se automatski pokreće i počinje proces enkripcije fajlova.

Ova verzija ransomwarea dodaje ekstenziju .zepto nazivu svakog šifrovanog fajla.

Krajem juna i početkom jula, istraživači kompanije Cisco primetili su veliki talas spam emailova kojih je za četiri dana bilo 137731, a koji su sadržali Locky/Zepto. Tokom te kampanjje korišćen je stari način infekcije (ZIP-JS-downloader-Locky).

Istraživači kompanije Cyren primetili su neke promene u distribuciji ransomwarea Locky, ali ne i kada je u pitanju Zepto. Između ostalog, sada se koriste DOCM fajlovi, umesto DOC i DOCX, za infekciju računara preko Word makroa.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ''Jupyter'' krade korisnička imena i lozinke iz Chromea i Firefoxa

Novi trojanac ''Jupyter'' krade korisnička imena i lozinke iz Chromea i Firefoxa

Istraživači iz firme Morphisec otkrili su novog trojanca u mreži neimenovane visokoškolske ustanove u SAD, za koga kažu da je aktivan od maja ove... Dalje

Lažni rezultat testa na COVID-19 krije novi ransomware

Lažni rezultat testa na COVID-19 krije novi ransomware

Istraživači Cofense Intelligencea upozorili su na novu verziju ransomwarea Hentai OniChan nazvanu „King Engine“ koja se krije u emailovi... Dalje

Malver Emotet sada ima novu taktiku, traži od žrtava da nadograde Microsoft Word

Malver Emotet sada ima novu taktiku, traži od žrtava da nadograde Microsoft Word

Emotet je prošle nedelje promenio taktiku i sada koristi poruku Microsoft Officea u kojoj se navodi da Microsoft Word treba ažurirati da bi dobio no... Dalje

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje