Ransomware Locky se vratio i sada se širi preko spam emailova sa malicioznim dokumentima

Opisi virusa, 25.04.2017, 01:00 AM

Ransomware Locky se vratio i sada se širi preko spam emailova sa malicioznim dokumentima

Ransomware Locky se vratio, opasniji nego ikad pre. Posle zatišja početkom godine, Locky ponovo napada, dolazeći do svojih žrtava preko spam emailova koji sadrže maliciozne dokumente.

Spam emailovi su različito naslovljeni - "Receipt 435," "Payment Receipt 2724," "Payment-2677" i slično, samo se brojevi menjaju.

Emailovi sadrže PDF fajlove sa nazivima kao što je P72732.pdf, koji ne govore mnogo o tome šta je sadržaj dokumenta. Očigledno da spameri računaju na radoznalost korisnika.

Kada žrtva otvori PDF, od nje se traži da otvori umetnuti Word dokument. To bi trebalo da izazove sumnju kod korisnika.

Ako korisnik otvori taj fajl, otvara se Word dokument. Tada se korisniku kaže da je dokument zaštićen i da treba da uključi makro da bi video sadržaj.

Microsoft je na ovaj način pokušao da zaštiti korisnike, baš zbog toga što hakeri koriste ovu funkciju kada šire malvere. Uključivanje makroa, oslobodiće ransomware Locky.

Locky se preuzima, dešifruje, i biće sačuvan u %Temp%redchip2.exe. Taj fajl se pokreće i fajlovi na računaru se šifruju.

Fajlovi koje je šifrovao Locky imaju ekstenziju .OSIRIS, pa je infekciju lako prepoznati.

Kada se proces enkripcije završi, žrtvi se prikazuje obaveštenje o otkupnini. Žrtva se obaveštava šta se dogodilo njenim fajlovima i da je njihovo dešifrovanje moguće jedino sa privatnim ključem i programom za dešifrovanje, koji se nalaze na serveru hakera.

Žrtvi se daju uputstva kako da preuzme i instalira Tor i da poseti određeni sajt. Plaćanje se vrši bitcoinima a zauzvrat žrtva dobija ključ za dešifrovanje.

Loša vest je da trenutno nema besplatnog alata za dešifrovanje tako da žrtve nemaju mnogo izbora - ili da se oproste od svojih fajlova ili da plate, iako stručnjaci ne savetuju saradnju sa kriminalcima. Oni misle da je bolje rešenje da se sačuvaju šifrovani fajlovi za slučaj da se u budućnosti nađe besplatno rešenje za njih.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Iako se macOS smatra relativno sigurnim operativnim sistemom, sajber kriminalci ne odustaju od pokušaja da profitiraju od korisnika macOS-a. Dobar pr... Dalje

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke. F... Dalje

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživa... Dalje

ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara

ZeroCleare je novi iranski destruktivni malver koji briše sve sa računara

Istraživači IBM-a otkrili su novi, do sada nepoznati destruktivni malver za brisanje podataka koji hakeri koji rade za Iran koriste za napade na kom... Dalje

Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu

Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu

U mnoštvu ransomwarea Clop CryptoMik Ransomware izdvaja se po tome što pokušava da onemogući Windows Defender, kao i da ukloni Microsoft Security... Dalje