Ransomware Locky se vratio, ali za sada inficira samo računare sa Windows XP i Vista

Opisi virusa, 29.06.2017, 09:00 AM

Ransomware Locky se vratio, ali za sada inficira samo računare sa Windows XP i Vista

Ransomware Locky se vratio i sada se širi preko spam emailova koje u velikom broju šalje bot mreža Necurs, ali kampanja po svemu sudeći neće biti mnogo uspešna jer ransomware ne može da šifruje fajlove na novijim verzijama Windowsa, već samo na računarima sa Windows XP i Vista.

Iako je povratak Lockyja iznenađenje, sa druge strane, to je veoma logično. Ima indicija da ista grupa koja stoji iza bot mreže Necurs stoji i iza ransomwarea Locky, ali i novijeg ransomwarea Jaff, koga mnogi smatraju Lockyjevim naslednikom.

Kako je Necurs polako prelazio na Jaff ransomware, grupa koja stoji iza ova dva ransomwarea u maju je prestala da šalje spam emailove sa Lockyjem koji je u potpunosti zamenjen ransomwareom Jaff.

Međutim, planove grupe poremetili su istraživači iz kompanije Kaspersky Lab koji su našli propust u enkripciji ransomwarea Jaff i napravili besplatan program za pomoć žrtvama koje bi da vrate svoje fajlove bez plaćanja kriminalcima. Ovo je bio neočekivani razvoj događaja, jer istraživači nikada nisu uspeli da razbiju enkripciju Lockyja, pa su mnogi logično mislili da će biti isto, ako ne i teže, sa ransomwareom Jaff.

Podvig istraživača Kaspersky Laba iznenadio je i grupu Necurs. Čim je objavljen besplatni dekripter, smanjio se broj spam emailova sa Jaff ransomwareom, a grupa je ponovo počela da distribuira Locky. Kriminalci su verovatno procenili da imaju više šanse da zarade sa Lockyjem.

Nove talase spam emailova uočilo je nekoliko istraživača koji su primetili da imaju problem da inficiraju Lockyjem svoje računare za testiranje.

Istraživači iz kompanije Cisco otkrili su i razlog. Žureći da zamene Jaff Lockyjem, kriminalci su napravili nekoliko grešaka koje sprečavaju ransomware da inficira Windows 7 i novije verzije Windowsa sa Data Execution Prevention (DEP). Oni očigledno nisu primetili propust jer su angažovali značajne resurse za distribuciju ransomwarea, što verovatno ne bi uradili da su znali da ransomware neće biti mnogo efikasan.

Ipak, iz kompanije Cisco kažu da novoj verziji Lockyja pripada 7,2% celokupnog spam email saobraćaja. To je ogroman talas spama za ransomware koji može da inficira manje od 10% Windows računara.

Nova verzija Lockyja dolazi sa minimalnim promenama u odnosu na verziju iz maja. Locky i dalje koristi LOTPR ekstenziju koju dodaje nazivima šifrovanih fajlova, kao i istu URL strukturu za komandno-kontrolne servere. To samo potvrđuje teoriju da se kriminalcima žurilo da zamene Jaff Lockyjem.

Locky koristi novi metod pokretanja na napadnutom računaru. Osim toga, spam emailovi sa Lockyjem imaju nove naslove i drugačiji sadržaj, ali se i dalje radi o lažnim računima, potvrdama narudžbina i slično.

I fajlovi u prilogu emailova upakovani su drugačije. U spam emailovima koji sadrže Locky nalaze se ZIP fajlovi, sa imenima koja su nasumično odabrani brojevi. ZIP fajl sadrži još jedan ZIP fajl koji sadrži EXE fajl koji kada je pokrene, pokreće Locky.

Nova verzija Lockyja ima i zaštitu od pokretanja na vituelnoj mašini, pa je istraživačima bilo veoma teško da analiziraju malver u prvih nekoliko sati.

Iako sada izgleda kao da navrat nanos sklepana kampanja distribucije neće imati veći uspeh, može se očekivati da kriminalci isprave greške koje su u žurbi napravili i narednih dana isporuče novu verziju ransomwarea.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje