Pratite nas preko RSS-aPromenjena taktika za širenje opasnog ransomwarea Locky, pogledajte kako se sada malver širi
Opisi virusa, 26.10.2016, 08:30 AM
Za jedan od trenutno najopasnijih i najraširenijih ransomwarea, ransomware Locky promenjen je način širenja. Distributeri ovog ransomwarea odustali su od WSF fajlova i odlučili su da umesto njih koriste LNK fajlove.
Od kada se Locky pojavio pa sve do nedavno grupa koja stoji iza njega širila je ovu pretnju pomoću exploit alata, Office fajlova sa makroima i ZIP fajlova.
Do sada se Locky najčešće širio preko ZIP fajlova. Kada bi ih korisnici otvorili, naišli bi na različite vrste fajlova i kada bi ih pokrenuli došlo bi do instalacije ransomwarea Locky. U ZIP fajlovima su bili JS fajlovi, HTA fajlovi i WSF fajlovi. Najnoviji trend u distribuciji ransomwarea Locky su spam emailovi koji sadrže ZIP fajl sa LNK fajlom.
"Primetili smo da su autori ransomwarea Locky, verovatno zbog toga što su videli da su neki emailovi blokirani, promenili atačment i sa .wsf fajlova prešli na .lnk fajalove koji sadrže PowerShell komande za preuzimanje i pokretanje Lockyja", kažu istraživači Microsoftovog Centra za zaštitu od malvera.
Prelazak na LNK fajlove se dogodio nedavno i izgleda da je povezan sa detekcijama malvera Nemucod. Nemucod je downloader, posrednik između malicioznog ZIP fajla i infekcije ransomwareom Locky. Oni koji stoje iza Lockyja koriste Nemucod da bi proverili da li su inficirani računari sandbox okruženja i da bi osigurali prisustvo na računarima pre nego što Nemucod preuzme ransomware Locky.
Trend smanjenja detekcije malvera Nemucod potvrđuje da je grupa koja stoji iza ransomwarea Locky promenila taktiku.
LNK je ekstenzija za Windows shortcut. Link fajlovi su se često koristili za distribuciju malvera, tako da Locky nije prvi malver koji koristi ovaj trik.
LNK fajlovi instaliraju malver povezivanjem sa programom koji svi imaju na računaru. U ovom slučaju je to Windows PowerShell koga distributeri malvera često zloupotrebljavaju da bi automatizovali operacije koje su potrebne za instalaciju malvera bez učešća korisnika u tom procesu.
Kako LNK fajlovi mogu imati različite ikone, korisnici mogu lako biti prevareni da dva puta kliknu i pokrenu fajl.
Na ovaj način se širi najnovija verzija ransomwarea, ona koja šifrovanim fajlovima dodaje ekstenziju ODIN.
Nedavno su istraživači kompanije Proofpoint objavili da Locky spam čini 97% svih spam emailova koji sadrže maliciozne atačmente, tako da je za korisnike računara od velikog značaja da prate aktuelne taktike koje grupa koja stoji iza Lockyja koristi za širenje ovog ransomwarea.
Izdvojeno
Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT
.jpg)
Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje
Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera
Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje
Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima
Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje
Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u
.jpg)
Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje
Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera
Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje
Pratite nas
Nagrade
Prijatelji
