Ransomware Locky se vratio i sada se širi preko spam emailova sa malicioznim dokumentima

Opisi virusa, 25.04.2017, 01:00 AM

Ransomware Locky se vratio i sada se širi preko spam emailova sa malicioznim dokumentima

Ransomware Locky se vratio, opasniji nego ikad pre. Posle zatišja početkom godine, Locky ponovo napada, dolazeći do svojih žrtava preko spam emailova koji sadrže maliciozne dokumente.

Spam emailovi su različito naslovljeni - "Receipt 435," "Payment Receipt 2724," "Payment-2677" i slično, samo se brojevi menjaju.

Emailovi sadrže PDF fajlove sa nazivima kao što je P72732.pdf, koji ne govore mnogo o tome šta je sadržaj dokumenta. Očigledno da spameri računaju na radoznalost korisnika.

Kada žrtva otvori PDF, od nje se traži da otvori umetnuti Word dokument. To bi trebalo da izazove sumnju kod korisnika.

Ako korisnik otvori taj fajl, otvara se Word dokument. Tada se korisniku kaže da je dokument zaštićen i da treba da uključi makro da bi video sadržaj.

Microsoft je na ovaj način pokušao da zaštiti korisnike, baš zbog toga što hakeri koriste ovu funkciju kada šire malvere. Uključivanje makroa, oslobodiće ransomware Locky.

Locky se preuzima, dešifruje, i biće sačuvan u %Temp%redchip2.exe. Taj fajl se pokreće i fajlovi na računaru se šifruju.

Fajlovi koje je šifrovao Locky imaju ekstenziju .OSIRIS, pa je infekciju lako prepoznati.

Kada se proces enkripcije završi, žrtvi se prikazuje obaveštenje o otkupnini. Žrtva se obaveštava šta se dogodilo njenim fajlovima i da je njihovo dešifrovanje moguće jedino sa privatnim ključem i programom za dešifrovanje, koji se nalaze na serveru hakera.

Žrtvi se daju uputstva kako da preuzme i instalira Tor i da poseti određeni sajt. Plaćanje se vrši bitcoinima a zauzvrat žrtva dobija ključ za dešifrovanje.

Loša vest je da trenutno nema besplatnog alata za dešifrovanje tako da žrtve nemaju mnogo izbora - ili da se oproste od svojih fajlova ili da plate, iako stručnjaci ne savetuju saradnju sa kriminalcima. Oni misle da je bolje rešenje da se sačuvaju šifrovani fajlovi za slučaj da se u budućnosti nađe besplatno rešenje za njih.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot unapređen je novim modulima koji su dizajnirani da prošire njegove mogućnosti, tako da sada omogućava napada... Dalje

Lažna Flash ažuriranja šire kriptomajner XMRig

Lažna Flash ažuriranja šire kriptomajner XMRig

Maliciozna ažuriranja za Flash često su korišćena za širenje droppera, malvera koji instaliraju druge malvere, ali istraživači iz Palo Alto Uni... Dalje

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje

PowerGhost: Novi majner koji isključivo napada firme širom sveta

PowerGhost: Novi majner koji isključivo napada firme širom sveta

Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje