Promenjena taktika za širenje opasnog ransomwarea Locky, pogledajte kako se sada malver širi

Opisi virusa, 26.10.2016, 08:30 AM

Promenjena taktika za širenje opasnog ransomwarea Locky, pogledajte kako se sada malver širi

Za jedan od trenutno najopasnijih i najraširenijih ransomwarea, ransomware Locky promenjen je način širenja. Distributeri ovog ransomwarea odustali su od WSF fajlova i odlučili su da umesto njih koriste LNK fajlove.

Od kada se Locky pojavio pa sve do nedavno grupa koja stoji iza njega širila je ovu pretnju pomoću exploit alata, Office fajlova sa makroima i ZIP fajlova.

Do sada se Locky najčešće širio preko ZIP fajlova. Kada bi ih korisnici otvorili, naišli bi na različite vrste fajlova i kada bi ih pokrenuli došlo bi do instalacije ransomwarea Locky. U ZIP fajlovima su bili JS fajlovi, HTA fajlovi i WSF fajlovi. Najnoviji trend u distribuciji ransomwarea Locky su spam emailovi koji sadrže ZIP fajl sa LNK fajlom.

"Primetili smo da su autori ransomwarea Locky, verovatno zbog toga što su videli da su neki emailovi blokirani, promenili atačment i sa .wsf fajlova prešli na .lnk fajalove koji sadrže PowerShell komande za preuzimanje i pokretanje Lockyja", kažu istraživači Microsoftovog Centra za zaštitu od malvera.

Prelazak na LNK fajlove se dogodio nedavno i izgleda da je povezan sa detekcijama malvera Nemucod. Nemucod je downloader, posrednik između malicioznog ZIP fajla i infekcije ransomwareom Locky. Oni koji stoje iza Lockyja koriste Nemucod da bi proverili da li su inficirani računari sandbox okruženja i da bi osigurali prisustvo na računarima pre nego što Nemucod preuzme ransomware Locky.

Trend smanjenja detekcije malvera Nemucod potvrđuje da je grupa koja stoji iza ransomwarea Locky promenila taktiku.

LNK je ekstenzija za Windows shortcut. Link fajlovi su se često koristili za distribuciju malvera, tako da Locky nije prvi malver koji koristi ovaj trik.

LNK fajlovi instaliraju malver povezivanjem sa programom koji svi imaju na računaru. U ovom slučaju je to Windows PowerShell koga distributeri malvera često zloupotrebljavaju da bi automatizovali operacije koje su potrebne za instalaciju malvera bez učešća korisnika u tom procesu.

Kako LNK fajlovi mogu imati različite ikone, korisnici mogu lako biti prevareni da dva puta kliknu i pokrenu fajl.

Na ovaj način se širi najnovija verzija ransomwarea, ona koja šifrovanim fajlovima dodaje ekstenziju ODIN.

Nedavno su istraživači kompanije Proofpoint objavili da Locky spam čini 97% svih spam emailova koji sadrže maliciozne atačmente, tako da je za korisnike računara od velikog značaja da prate aktuelne taktike koje grupa koja stoji iza Lockyja koristi za širenje ovog ransomwarea.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje

PowerGhost: Novi majner koji isključivo napada firme širom sveta

PowerGhost: Novi majner koji isključivo napada firme širom sveta

Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Istraživači iz kompanije Proofpoint primetili su novu verziju starog bankarskog trojanca Kronos koji je bio na vrhuncu još 2014. godine. Nova verzi... Dalje

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od nj... Dalje

Clipboard Hijacker: Kako sajber kriminalci kradu kriptovalutu

Clipboard Hijacker: Kako sajber kriminalci kradu kriptovalutu

Kriptovalute su postale veoma popularne, ali slanje koina nije jednostavno jer zahteva da ih korisnici šalju na adrese koje su dugačke i koje je te... Dalje