Promenjena taktika za širenje opasnog ransomwarea Locky, pogledajte kako se sada malver širi

Opisi virusa, 26.10.2016, 08:30 AM

Promenjena taktika za širenje opasnog ransomwarea Locky, pogledajte kako se sada malver širi

Za jedan od trenutno najopasnijih i najraširenijih ransomwarea, ransomware Locky promenjen je način širenja. Distributeri ovog ransomwarea odustali su od WSF fajlova i odlučili su da umesto njih koriste LNK fajlove.

Od kada se Locky pojavio pa sve do nedavno grupa koja stoji iza njega širila je ovu pretnju pomoću exploit alata, Office fajlova sa makroima i ZIP fajlova.

Do sada se Locky najčešće širio preko ZIP fajlova. Kada bi ih korisnici otvorili, naišli bi na različite vrste fajlova i kada bi ih pokrenuli došlo bi do instalacije ransomwarea Locky. U ZIP fajlovima su bili JS fajlovi, HTA fajlovi i WSF fajlovi. Najnoviji trend u distribuciji ransomwarea Locky su spam emailovi koji sadrže ZIP fajl sa LNK fajlom.

"Primetili smo da su autori ransomwarea Locky, verovatno zbog toga što su videli da su neki emailovi blokirani, promenili atačment i sa .wsf fajlova prešli na .lnk fajalove koji sadrže PowerShell komande za preuzimanje i pokretanje Lockyja", kažu istraživači Microsoftovog Centra za zaštitu od malvera.

Prelazak na LNK fajlove se dogodio nedavno i izgleda da je povezan sa detekcijama malvera Nemucod. Nemucod je downloader, posrednik između malicioznog ZIP fajla i infekcije ransomwareom Locky. Oni koji stoje iza Lockyja koriste Nemucod da bi proverili da li su inficirani računari sandbox okruženja i da bi osigurali prisustvo na računarima pre nego što Nemucod preuzme ransomware Locky.

Trend smanjenja detekcije malvera Nemucod potvrđuje da je grupa koja stoji iza ransomwarea Locky promenila taktiku.

LNK je ekstenzija za Windows shortcut. Link fajlovi su se često koristili za distribuciju malvera, tako da Locky nije prvi malver koji koristi ovaj trik.

LNK fajlovi instaliraju malver povezivanjem sa programom koji svi imaju na računaru. U ovom slučaju je to Windows PowerShell koga distributeri malvera često zloupotrebljavaju da bi automatizovali operacije koje su potrebne za instalaciju malvera bez učešća korisnika u tom procesu.

Kako LNK fajlovi mogu imati različite ikone, korisnici mogu lako biti prevareni da dva puta kliknu i pokrenu fajl.

Na ovaj način se širi najnovija verzija ransomwarea, ona koja šifrovanim fajlovima dodaje ekstenziju ODIN.

Nedavno su istraživači kompanije Proofpoint objavili da Locky spam čini 97% svih spam emailova koji sadrže maliciozne atačmente, tako da je za korisnike računara od velikog značaja da prate aktuelne taktike koje grupa koja stoji iza Lockyja koristi za širenje ovog ransomwarea.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Destruktivni malver napravio probleme organizatorima Olimpijskih igara u Pjongčangu

Destruktivni malver napravio probleme organizatorima Olimpijskih igara u Pjongčangu

Krivac za tehničke probleme koji su se dogodili za vreme ceremonije otvaranja Olimpijskih igara u Pjongčangu je jedan destruktivni malver zbog koga ... Dalje

Kripto-majner malver za Mac širio se sa sajtova za preuzimanje softvera

Kripto-majner malver za Mac širio se sa sajtova za preuzimanje softvera

Nevidljivi majneri za kopanje kriptovaluta obično su problem korisnika Windowsa, ali niko nije bezbedan, ni korisnici Linuxa, ni korisnici Mac račun... Dalje

Autori bankarskog trojanca Dridex stvorili novi malver, ransomware FriedEx

Autori bankarskog trojanca Dridex stvorili novi malver, ransomware FriedEx

Izgleda da su autori zloglasnog bankarskog trojanca Dridex i Necurs spam botneta stvorili još jedan malver, ransomware nazvan FriedEx, objavila je ko... Dalje

Posle inicijalnog šifrovanja računara, ransomware Rapid šifruje svaki novonastali fajl

Posle inicijalnog šifrovanja računara, ransomware Rapid šifruje svaki novonastali fajl

Pojavio se novi ransomware koji je nazvan Rapid Ransomware i koji ostaje aktivan i nakon što šifruje fajlove da bi šifrovao sve novokreirane fajlov... Dalje

Novi Android malver Catelites Bot oponaša 2200 aplikacija banaka

Novi Android malver Catelites Bot oponaša 2200 aplikacija banaka

Novi dan, novi Android malver. Istraživači iz kompanija SfyLabs i Avast zajedno su analizirali novi malver nazvan Catelites Bot koji može da lažir... Dalje