Ransomware Locky se vratio i sada se širi preko spam emailova sa malicioznim dokumentima

Opisi virusa, 25.04.2017, 01:00 AM

Ransomware Locky se vratio i sada se širi preko spam emailova sa malicioznim dokumentima

Ransomware Locky se vratio, opasniji nego ikad pre. Posle zatišja početkom godine, Locky ponovo napada, dolazeći do svojih žrtava preko spam emailova koji sadrže maliciozne dokumente.

Spam emailovi su različito naslovljeni - "Receipt 435," "Payment Receipt 2724," "Payment-2677" i slično, samo se brojevi menjaju.

Emailovi sadrže PDF fajlove sa nazivima kao što je P72732.pdf, koji ne govore mnogo o tome šta je sadržaj dokumenta. Očigledno da spameri računaju na radoznalost korisnika.

Kada žrtva otvori PDF, od nje se traži da otvori umetnuti Word dokument. To bi trebalo da izazove sumnju kod korisnika.

Ako korisnik otvori taj fajl, otvara se Word dokument. Tada se korisniku kaže da je dokument zaštićen i da treba da uključi makro da bi video sadržaj.

Microsoft je na ovaj način pokušao da zaštiti korisnike, baš zbog toga što hakeri koriste ovu funkciju kada šire malvere. Uključivanje makroa, oslobodiće ransomware Locky.

Locky se preuzima, dešifruje, i biće sačuvan u %Temp%redchip2.exe. Taj fajl se pokreće i fajlovi na računaru se šifruju.

Fajlovi koje je šifrovao Locky imaju ekstenziju .OSIRIS, pa je infekciju lako prepoznati.

Kada se proces enkripcije završi, žrtvi se prikazuje obaveštenje o otkupnini. Žrtva se obaveštava šta se dogodilo njenim fajlovima i da je njihovo dešifrovanje moguće jedino sa privatnim ključem i programom za dešifrovanje, koji se nalaze na serveru hakera.

Žrtvi se daju uputstva kako da preuzme i instalira Tor i da poseti određeni sajt. Plaćanje se vrši bitcoinima a zauzvrat žrtva dobija ključ za dešifrovanje.

Loša vest je da trenutno nema besplatnog alata za dešifrovanje tako da žrtve nemaju mnogo izbora - ili da se oproste od svojih fajlova ili da plate, iako stručnjaci ne savetuju saradnju sa kriminalcima. Oni misle da je bolje rešenje da se sačuvaju šifrovani fajlovi za slučaj da se u budućnosti nađe besplatno rešenje za njih.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver WinstarNssmMiner rudari Monero, zaobilazi antiviruse i ruši Windows

Malver WinstarNssmMiner rudari Monero, zaobilazi antiviruse i ruši Windows

Rudarenje digitalnog novca je novi trend u svetu malvera, o čemu svedoči i nedavno otkriveni agresivni malver koga su primetili istraživači iz fir... Dalje

Malver Vega Stealer krade lozinke i podatke kartica iz Chromea i Firefoxa

Malver Vega Stealer krade lozinke i podatke kartica iz Chromea i Firefoxa

Istraživači kompanije Proofpoint otkrili su novi malver koji krade sačuvane lozinke i podatke o platnim karticama iz Chromea i Firefoxa. Pored toga... Dalje

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Istraživači kompanije Kaspersky Lab otkrili su novu verziju ransomwarea SynAck koja koristi tehniku dvojnika procesa (Process Doppelgänging) da... Dalje

Novi sajber špijun ZooPark

Novi sajber špijun ZooPark

Istraživači kompanije Kaspersky Lab otkrili su ZooPark, sofisticiranu sajber špijunažu, koja je započela pre nekoliko godina i čiji su ciljevi k... Dalje

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Ako dobijete link za video, čak i ako vam se učini zanimljivim, ako vam ga je poslao prijatelj ili neko drugi preko Facebook Messengera, razmislite ... Dalje