Novi talas spam emailova koji šire ransomware Locky

Opisi virusa, 28.07.2016, 08:00 AM

Novi talas spam emailova koji šire ransomware Locky

Locky je ransomware koji se pojavio početkom godine i od tada je neprestano evoluirao. Ali jedna od stvari koja je ostala ista svih ovih meseci je payload - JavaScript fajl umetnut u ZIP fajl koji korisnici dobijaju putem emaila.

Fajl je obično sadržao downloader, malicioznu komponentu koja je preuzimala sam Locky koji bi se onda pokrenuo na računaru.

Nove verzije ransomwarea Locky poznate su i pod nazivom Zepto.

20. jula primećen je novi talas infekcija ovim ransomwareom. Ono što se promenilo je da se sada isporučuje ceo kod ransomwarea unutar JavaScript fajla.

Istraživači kompanije Cyren odmah su primetili promenu u veličini ZIP fajla, koji je porastao od nekoliko KB na više od 250 KB. Oni su primetili mnogo više koda u JS fajlu nego što ga je bilo ranije.

Kada se JS fajl pokrene, Locky će biti sačuvan u folderu Temp, posle čega se automatski pokreće i počinje proces enkripcije fajlova.

Ova verzija ransomwarea dodaje ekstenziju .zepto nazivu svakog šifrovanog fajla.

Krajem juna i početkom jula, istraživači kompanije Cisco primetili su veliki talas spam emailova kojih je za četiri dana bilo 137731, a koji su sadržali Locky/Zepto. Tokom te kampanjje korišćen je stari način infekcije (ZIP-JS-downloader-Locky).

Istraživači kompanije Cyren primetili su neke promene u distribuciji ransomwarea Locky, ali ne i kada je u pitanju Zepto. Između ostalog, sada se koriste DOCM fajlovi, umesto DOC i DOCX, za infekciju računara preko Word makroa.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje