Ransomware Locky se vratio, ali za sada inficira samo računare sa Windows XP i Vista

Opisi virusa, 29.06.2017, 09:00 AM

Ransomware Locky se vratio, ali za sada inficira samo računare sa Windows XP i Vista

Ransomware Locky se vratio i sada se širi preko spam emailova koje u velikom broju šalje bot mreža Necurs, ali kampanja po svemu sudeći neće biti mnogo uspešna jer ransomware ne može da šifruje fajlove na novijim verzijama Windowsa, već samo na računarima sa Windows XP i Vista.

Iako je povratak Lockyja iznenađenje, sa druge strane, to je veoma logično. Ima indicija da ista grupa koja stoji iza bot mreže Necurs stoji i iza ransomwarea Locky, ali i novijeg ransomwarea Jaff, koga mnogi smatraju Lockyjevim naslednikom.

Kako je Necurs polako prelazio na Jaff ransomware, grupa koja stoji iza ova dva ransomwarea u maju je prestala da šalje spam emailove sa Lockyjem koji je u potpunosti zamenjen ransomwareom Jaff.

Međutim, planove grupe poremetili su istraživači iz kompanije Kaspersky Lab koji su našli propust u enkripciji ransomwarea Jaff i napravili besplatan program za pomoć žrtvama koje bi da vrate svoje fajlove bez plaćanja kriminalcima. Ovo je bio neočekivani razvoj događaja, jer istraživači nikada nisu uspeli da razbiju enkripciju Lockyja, pa su mnogi logično mislili da će biti isto, ako ne i teže, sa ransomwareom Jaff.

Podvig istraživača Kaspersky Laba iznenadio je i grupu Necurs. Čim je objavljen besplatni dekripter, smanjio se broj spam emailova sa Jaff ransomwareom, a grupa je ponovo počela da distribuira Locky. Kriminalci su verovatno procenili da imaju više šanse da zarade sa Lockyjem.

Nove talase spam emailova uočilo je nekoliko istraživača koji su primetili da imaju problem da inficiraju Lockyjem svoje računare za testiranje.

Istraživači iz kompanije Cisco otkrili su i razlog. Žureći da zamene Jaff Lockyjem, kriminalci su napravili nekoliko grešaka koje sprečavaju ransomware da inficira Windows 7 i novije verzije Windowsa sa Data Execution Prevention (DEP). Oni očigledno nisu primetili propust jer su angažovali značajne resurse za distribuciju ransomwarea, što verovatno ne bi uradili da su znali da ransomware neće biti mnogo efikasan.

Ipak, iz kompanije Cisco kažu da novoj verziji Lockyja pripada 7,2% celokupnog spam email saobraćaja. To je ogroman talas spama za ransomware koji može da inficira manje od 10% Windows računara.

Nova verzija Lockyja dolazi sa minimalnim promenama u odnosu na verziju iz maja. Locky i dalje koristi LOTPR ekstenziju koju dodaje nazivima šifrovanih fajlova, kao i istu URL strukturu za komandno-kontrolne servere. To samo potvrđuje teoriju da se kriminalcima žurilo da zamene Jaff Lockyjem.

Locky koristi novi metod pokretanja na napadnutom računaru. Osim toga, spam emailovi sa Lockyjem imaju nove naslove i drugačiji sadržaj, ali se i dalje radi o lažnim računima, potvrdama narudžbina i slično.

I fajlovi u prilogu emailova upakovani su drugačije. U spam emailovima koji sadrže Locky nalaze se ZIP fajlovi, sa imenima koja su nasumično odabrani brojevi. ZIP fajl sadrži još jedan ZIP fajl koji sadrži EXE fajl koji kada je pokrene, pokreće Locky.

Nova verzija Lockyja ima i zaštitu od pokretanja na vituelnoj mašini, pa je istraživačima bilo veoma teško da analiziraju malver u prvih nekoliko sati.

Iako sada izgleda kao da navrat nanos sklepana kampanja distribucije neće imati veći uspeh, može se očekivati da kriminalci isprave greške koje su u žurbi napravili i narednih dana isporuče novu verziju ransomwarea.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od nj... Dalje

Clipboard Hijacker: Kako sajber kriminalci kradu kriptovalutu

Clipboard Hijacker: Kako sajber kriminalci kradu kriptovalutu

Kriptovalute su postale veoma popularne, ali slanje koina nije jednostavno jer zahteva da ih korisnici šalju na adrese koje su dugačke i koje je te... Dalje

Objavljen besplatni dekripter za žrtve ransomwarea Thanatos

Objavljen besplatni dekripter za žrtve ransomwarea Thanatos

Ransomware Thanatos koji se pojavio u februaru ove godine imao je ozbiljne propuste, zbog kojih njegovi autori nisu mogli da dešifruju fajlove žrtav... Dalje

Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Kada je 2015. objavljen Windows 10, jedna od njegovih glavnih prednosti su bile poboljšane sigurnosne funkcije koje su otežale rutkitovima (rootkit)... Dalje

MisteryBot: bankarski trojanac, keylogger i ransomware u jednom malveru

MisteryBot: bankarski trojanac, keylogger i ransomware u jednom malveru

Sajber kriminalci razvijaju novi malver nazvan MisteryBot koji cilja Android uređaje i koji objedinjuje funkcije bankarskog trojanca, keyloggera i mo... Dalje