Ransomware Locky se vratio, ali za sada inficira samo računare sa Windows XP i Vista

Opisi virusa, 29.06.2017, 09:00 AM

Ransomware Locky se vratio, ali za sada inficira samo računare sa Windows XP i Vista

Ransomware Locky se vratio i sada se širi preko spam emailova koje u velikom broju šalje bot mreža Necurs, ali kampanja po svemu sudeći neće biti mnogo uspešna jer ransomware ne može da šifruje fajlove na novijim verzijama Windowsa, već samo na računarima sa Windows XP i Vista.

Iako je povratak Lockyja iznenađenje, sa druge strane, to je veoma logično. Ima indicija da ista grupa koja stoji iza bot mreže Necurs stoji i iza ransomwarea Locky, ali i novijeg ransomwarea Jaff, koga mnogi smatraju Lockyjevim naslednikom.

Kako je Necurs polako prelazio na Jaff ransomware, grupa koja stoji iza ova dva ransomwarea u maju je prestala da šalje spam emailove sa Lockyjem koji je u potpunosti zamenjen ransomwareom Jaff.

Međutim, planove grupe poremetili su istraživači iz kompanije Kaspersky Lab koji su našli propust u enkripciji ransomwarea Jaff i napravili besplatan program za pomoć žrtvama koje bi da vrate svoje fajlove bez plaćanja kriminalcima. Ovo je bio neočekivani razvoj događaja, jer istraživači nikada nisu uspeli da razbiju enkripciju Lockyja, pa su mnogi logično mislili da će biti isto, ako ne i teže, sa ransomwareom Jaff.

Podvig istraživača Kaspersky Laba iznenadio je i grupu Necurs. Čim je objavljen besplatni dekripter, smanjio se broj spam emailova sa Jaff ransomwareom, a grupa je ponovo počela da distribuira Locky. Kriminalci su verovatno procenili da imaju više šanse da zarade sa Lockyjem.

Nove talase spam emailova uočilo je nekoliko istraživača koji su primetili da imaju problem da inficiraju Lockyjem svoje računare za testiranje.

Istraživači iz kompanije Cisco otkrili su i razlog. Žureći da zamene Jaff Lockyjem, kriminalci su napravili nekoliko grešaka koje sprečavaju ransomware da inficira Windows 7 i novije verzije Windowsa sa Data Execution Prevention (DEP). Oni očigledno nisu primetili propust jer su angažovali značajne resurse za distribuciju ransomwarea, što verovatno ne bi uradili da su znali da ransomware neće biti mnogo efikasan.

Ipak, iz kompanije Cisco kažu da novoj verziji Lockyja pripada 7,2% celokupnog spam email saobraćaja. To je ogroman talas spama za ransomware koji može da inficira manje od 10% Windows računara.

Nova verzija Lockyja dolazi sa minimalnim promenama u odnosu na verziju iz maja. Locky i dalje koristi LOTPR ekstenziju koju dodaje nazivima šifrovanih fajlova, kao i istu URL strukturu za komandno-kontrolne servere. To samo potvrđuje teoriju da se kriminalcima žurilo da zamene Jaff Lockyjem.

Locky koristi novi metod pokretanja na napadnutom računaru. Osim toga, spam emailovi sa Lockyjem imaju nove naslove i drugačiji sadržaj, ali se i dalje radi o lažnim računima, potvrdama narudžbina i slično.

I fajlovi u prilogu emailova upakovani su drugačije. U spam emailovima koji sadrže Locky nalaze se ZIP fajlovi, sa imenima koja su nasumično odabrani brojevi. ZIP fajl sadrži još jedan ZIP fajl koji sadrži EXE fajl koji kada je pokrene, pokreće Locky.

Nova verzija Lockyja ima i zaštitu od pokretanja na vituelnoj mašini, pa je istraživačima bilo veoma teško da analiziraju malver u prvih nekoliko sati.

Iako sada izgleda kao da navrat nanos sklepana kampanja distribucije neće imati veći uspeh, može se očekivati da kriminalci isprave greške koje su u žurbi napravili i narednih dana isporuče novu verziju ransomwarea.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android malver Catelites Bot oponaša 2200 aplikacija banaka

Novi Android malver Catelites Bot oponaša 2200 aplikacija banaka

Novi dan, novi Android malver. Istraživači iz kompanija SfyLabs i Avast zajedno su analizirali novi malver nazvan Catelites Bot koji može da lažir... Dalje

Novi ransomware GlobeImposter se širi pomoću spam emailova

Novi ransomware GlobeImposter se širi pomoću spam emailova

Ako dobijete email sa fotografijom, naslovljen sa "Emailing: IMG_20171221_", oprezno, moguće je da je reč o emailu koji je poslat sa zadatkom da inf... Dalje

Malver Digmine se širi preko Facebook Messengera

Malver Digmine se širi preko Facebook Messengera

Korisnici Facebooka u nekoliko zemalja ciljevi su kampanje u kojoj se distribuira novi malver nazvan Digmine koji instalira majner kriptovalute Monero... Dalje

Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Korisnici interneta u Srbiji, Bosni i Hercegovini i Hrvatskoj ciljevi su novog ransomwarea nazvanog FileSpider koji se širi preko spam emailova koji ... Dalje

Malver Troubleshooter plaši korisnike ''plavim ekranom smrti'' - evo besplatnog rešenja

Malver Troubleshooter plaši korisnike ''plavim ekranom smrti'' - evo besplatnog rešenja

Zloglasni plavi ekran smrti (BSOD) je jedan od najstrašnijih prizora za korisnike Windowsa. Očigledno na to računaju autori novog malvera koji prik... Dalje