Ransomware Locky se vratio, ali za sada inficira samo računare sa Windows XP i Vista

Opisi virusa, 29.06.2017, 09:00 AM

Ransomware Locky se vratio, ali za sada inficira samo računare sa Windows XP i Vista

Ransomware Locky se vratio i sada se širi preko spam emailova koje u velikom broju šalje bot mreža Necurs, ali kampanja po svemu sudeći neće biti mnogo uspešna jer ransomware ne može da šifruje fajlove na novijim verzijama Windowsa, već samo na računarima sa Windows XP i Vista.

Iako je povratak Lockyja iznenađenje, sa druge strane, to je veoma logično. Ima indicija da ista grupa koja stoji iza bot mreže Necurs stoji i iza ransomwarea Locky, ali i novijeg ransomwarea Jaff, koga mnogi smatraju Lockyjevim naslednikom.

Kako je Necurs polako prelazio na Jaff ransomware, grupa koja stoji iza ova dva ransomwarea u maju je prestala da šalje spam emailove sa Lockyjem koji je u potpunosti zamenjen ransomwareom Jaff.

Međutim, planove grupe poremetili su istraživači iz kompanije Kaspersky Lab koji su našli propust u enkripciji ransomwarea Jaff i napravili besplatan program za pomoć žrtvama koje bi da vrate svoje fajlove bez plaćanja kriminalcima. Ovo je bio neočekivani razvoj događaja, jer istraživači nikada nisu uspeli da razbiju enkripciju Lockyja, pa su mnogi logično mislili da će biti isto, ako ne i teže, sa ransomwareom Jaff.

Podvig istraživača Kaspersky Laba iznenadio je i grupu Necurs. Čim je objavljen besplatni dekripter, smanjio se broj spam emailova sa Jaff ransomwareom, a grupa je ponovo počela da distribuira Locky. Kriminalci su verovatno procenili da imaju više šanse da zarade sa Lockyjem.

Nove talase spam emailova uočilo je nekoliko istraživača koji su primetili da imaju problem da inficiraju Lockyjem svoje računare za testiranje.

Istraživači iz kompanije Cisco otkrili su i razlog. Žureći da zamene Jaff Lockyjem, kriminalci su napravili nekoliko grešaka koje sprečavaju ransomware da inficira Windows 7 i novije verzije Windowsa sa Data Execution Prevention (DEP). Oni očigledno nisu primetili propust jer su angažovali značajne resurse za distribuciju ransomwarea, što verovatno ne bi uradili da su znali da ransomware neće biti mnogo efikasan.

Ipak, iz kompanije Cisco kažu da novoj verziji Lockyja pripada 7,2% celokupnog spam email saobraćaja. To je ogroman talas spama za ransomware koji može da inficira manje od 10% Windows računara.

Nova verzija Lockyja dolazi sa minimalnim promenama u odnosu na verziju iz maja. Locky i dalje koristi LOTPR ekstenziju koju dodaje nazivima šifrovanih fajlova, kao i istu URL strukturu za komandno-kontrolne servere. To samo potvrđuje teoriju da se kriminalcima žurilo da zamene Jaff Lockyjem.

Locky koristi novi metod pokretanja na napadnutom računaru. Osim toga, spam emailovi sa Lockyjem imaju nove naslove i drugačiji sadržaj, ali se i dalje radi o lažnim računima, potvrdama narudžbina i slično.

I fajlovi u prilogu emailova upakovani su drugačije. U spam emailovima koji sadrže Locky nalaze se ZIP fajlovi, sa imenima koja su nasumično odabrani brojevi. ZIP fajl sadrži još jedan ZIP fajl koji sadrži EXE fajl koji kada je pokrene, pokreće Locky.

Nova verzija Lockyja ima i zaštitu od pokretanja na vituelnoj mašini, pa je istraživačima bilo veoma teško da analiziraju malver u prvih nekoliko sati.

Iako sada izgleda kao da navrat nanos sklepana kampanja distribucije neće imati veći uspeh, može se očekivati da kriminalci isprave greške koje su u žurbi napravili i narednih dana isporuče novu verziju ransomwarea.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje