ΑρχικήsecurityΤο Locky Ransomware επιστρέφει δριμύτερο

Το Locky Ransomware επιστρέφει δριμύτερο

Μετά από αρκετό καιρό απουσίας, το Locky Ransomware επιστρέφει ακόμη πιο ισχυρό και πλήττει και πάλι τα θύματα μέσω μιας εκστρατείας spam που περιέχει κακόβουλα έγγραφα.

Locky Ransomware
Σύμφωνα με τους ερευνητές, το νέο κύμα spam απαρτίζεται από απατηλά μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται να εμπεριέχουν αποδεικτικά πληρωμών, όπως υποδηλώνει και το subject τους.  “Receipt 425”, “Payment Receipt 2424”, “Payment 1637” είναι κάποιοι ενδεικτικοί τίτλοι μηνυμάτων, βάσει των δειγμάτων που έχουν εντοπιστεί.
Τα συνημμένα αρχεία που εμπεριέχονται στα εν λόγω emails είναι σε μορφή PDF και φέρουν random ονομασίες (πχ. P72732.pdf), χωρίς να μαρτυρούν το περιεχόμενο των αρχείων και αυξάνοντας συνεπώς την περιέργεια των χρηστών. Αφότου οι χρήστες κατεβάσουν και τρέξουν το συνημμένο PDF, καλούνται στη συνέχεια να ανοίξουν ένα ενσωματωμένο έγγραφο του Word.
Εάν ανοίξουν το αρχείο αυτό, εμφανίζεται ένα αναδυόμενο παράθυρο που τους ενημερώνει ότι το έγγραφο είναι προστατευμένο και προκειμένου να δουν το περιεχόμενο του θα πρέπει να ενεργοποιήσουν κάποια macro εντολή.
Η αξιοποίηση των μακροεντολών της Microsoft από επιτιθέμενους για τη διάδοση κακόβουλου λογισμικού, είναι μια τακτική που ακολουθείται συχνά από εγκληματίες του κυβερνοχώρου. Όπως είναι επόμενο η ενεργοποίηση της συγκεκριμένης μακροεντολής θα εξαπολύσει το Locky Ransomware.
Το binary του Locky μεταφορτώνεται, αποκρυπτογραφείται και αποθηκεύεται στο% Temp%\redchip2.exe. Στη συνέχεια, το αρχείο εκτελείται και τα αρχεία στον υπολογιστή κρυπτογραφούνται με ταχείς ρυθμούς.
Τα αρχεία που κρυπτογραφούνται από το Locky φέρουν την επέκταση .OSIRIS, έτσι ώστε να είναι εύκολο να εντοπιστούν.
Όταν ολοκληρωθεί η κρυπτογράφηση των αρχείων, εμφανίζεται το ακόλουθο μήνυμα που ενημερώνει τα θύματα ότι έχουν μολυνθεί. “Όλα τα αρχεία σας είναι κρυπτογραφημένα με κρυπτογράφηση RSA-2048 και AES-128. […] Η αποκρυπτογράφηση των αρχείων σας είναι δυνατή μόνο με ένα private key και το πρόγραμμα αποκρυπτογράφησης που βρίσκεται στον μυστικό μας διακομιστή”, αναφέρει το μήνυμα.
Το θύμα στη συνέχεια θα πρέπει να κατεβάσει και να εγκαταστήσει το Tor και αφού μεταβεί σε μια συγκεκριμένη διεύθυνση, θα πρέπει να καταβάλει Bitcoins σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης.
Τα άσχημα νέα; Επί του παρόντος δεν έχει κυκλοφορήσει κάποιο δωρεάν εργαλείο αποκρυπτογράφησης για τα θύματα του Locky, οπότε σε περίπτωση που μολυνθείτε θα πρέπει να πείτε αντίο στα αρχεία σας ή να πληρώσετε, κάτι το οποίο δεν συνίσταται σε καμία περίπτωση. Οι ειδικοί ασφαλείας συμβουλεύουν τα θύματα να διατηρούν τα κρυπτογραφημένα αρχεία τους σε περίπτωση που εντοπιστεί κάποιο κλειδί αποκρυπτογράφησης που λειτουργεί.

Nat BotPak
Nat BotPak
LIFE IS TOO SHORT to remove usb safely

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS