Ransomware Locky se vratio, ali za sada inficira samo računare sa Windows XP i Vista

Opisi virusa, 29.06.2017, 09:00 AM

Ransomware Locky se vratio, ali za sada inficira samo računare sa Windows XP i Vista

Ransomware Locky se vratio i sada se širi preko spam emailova koje u velikom broju šalje bot mreža Necurs, ali kampanja po svemu sudeći neće biti mnogo uspešna jer ransomware ne može da šifruje fajlove na novijim verzijama Windowsa, već samo na računarima sa Windows XP i Vista.

Iako je povratak Lockyja iznenađenje, sa druge strane, to je veoma logično. Ima indicija da ista grupa koja stoji iza bot mreže Necurs stoji i iza ransomwarea Locky, ali i novijeg ransomwarea Jaff, koga mnogi smatraju Lockyjevim naslednikom.

Kako je Necurs polako prelazio na Jaff ransomware, grupa koja stoji iza ova dva ransomwarea u maju je prestala da šalje spam emailove sa Lockyjem koji je u potpunosti zamenjen ransomwareom Jaff.

Međutim, planove grupe poremetili su istraživači iz kompanije Kaspersky Lab koji su našli propust u enkripciji ransomwarea Jaff i napravili besplatan program za pomoć žrtvama koje bi da vrate svoje fajlove bez plaćanja kriminalcima. Ovo je bio neočekivani razvoj događaja, jer istraživači nikada nisu uspeli da razbiju enkripciju Lockyja, pa su mnogi logično mislili da će biti isto, ako ne i teže, sa ransomwareom Jaff.

Podvig istraživača Kaspersky Laba iznenadio je i grupu Necurs. Čim je objavljen besplatni dekripter, smanjio se broj spam emailova sa Jaff ransomwareom, a grupa je ponovo počela da distribuira Locky. Kriminalci su verovatno procenili da imaju više šanse da zarade sa Lockyjem.

Nove talase spam emailova uočilo je nekoliko istraživača koji su primetili da imaju problem da inficiraju Lockyjem svoje računare za testiranje.

Istraživači iz kompanije Cisco otkrili su i razlog. Žureći da zamene Jaff Lockyjem, kriminalci su napravili nekoliko grešaka koje sprečavaju ransomware da inficira Windows 7 i novije verzije Windowsa sa Data Execution Prevention (DEP). Oni očigledno nisu primetili propust jer su angažovali značajne resurse za distribuciju ransomwarea, što verovatno ne bi uradili da su znali da ransomware neće biti mnogo efikasan.

Ipak, iz kompanije Cisco kažu da novoj verziji Lockyja pripada 7,2% celokupnog spam email saobraćaja. To je ogroman talas spama za ransomware koji može da inficira manje od 10% Windows računara.

Nova verzija Lockyja dolazi sa minimalnim promenama u odnosu na verziju iz maja. Locky i dalje koristi LOTPR ekstenziju koju dodaje nazivima šifrovanih fajlova, kao i istu URL strukturu za komandno-kontrolne servere. To samo potvrđuje teoriju da se kriminalcima žurilo da zamene Jaff Lockyjem.

Locky koristi novi metod pokretanja na napadnutom računaru. Osim toga, spam emailovi sa Lockyjem imaju nove naslove i drugačiji sadržaj, ali se i dalje radi o lažnim računima, potvrdama narudžbina i slično.

I fajlovi u prilogu emailova upakovani su drugačije. U spam emailovima koji sadrže Locky nalaze se ZIP fajlovi, sa imenima koja su nasumično odabrani brojevi. ZIP fajl sadrži još jedan ZIP fajl koji sadrži EXE fajl koji kada je pokrene, pokreće Locky.

Nova verzija Lockyja ima i zaštitu od pokretanja na vituelnoj mašini, pa je istraživačima bilo veoma teško da analiziraju malver u prvih nekoliko sati.

Iako sada izgleda kao da navrat nanos sklepana kampanja distribucije neće imati veći uspeh, može se očekivati da kriminalci isprave greške koje su u žurbi napravili i narednih dana isporuče novu verziju ransomwarea.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživa... Dalje

ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara

ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara

Istraživači IBM-a otkrili su novi, do sada nepoznati destruktivni malver za brisanje podataka koji hakeri koji rade za Iran koriste za napade na kom... Dalje

Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu

Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu

U mnoštvu ransomwarea Clop CryptoMik Ransomware izdvaja se po tome što pokušava da onemogući Windows Defender, kao i da ukloni Microsoft Security... Dalje

Lažno ažuriranje za Windows vodi do ransomwarea Cyborg

Lažno ažuriranje za Windows vodi do ransomwarea Cyborg

Istraživači iz kompanije Truswave upozorili su na emailove koji sadrže fajl predstavljen kao važno ažuriranje za Windows, a koji zapravo dovodi d... Dalje

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje