0
Locky är tillbaka.
Bild: Cisco Talos
En av de mest framgångsrika familjer av ransomware har återvänt än en gång, med en ny e-post spam kampanj som syftar till att infektera offer med fil-kryptering av skadlig kod.
Locky var en av de första stora former av ransomware för att bli globalt framgångsrika och vid ett tillfälle var en av de vanligaste formerna av skadlig kod i sin egen rätt.
Dock attacker distribuera Locky har minskat i år, och samtidigt som det var en gång en kung av ransomware, dess titel har inskränkts — Cerber nu dominerar marknaden.
Men det betyder inte att Locky inte längre utgör ett hot. Efter att ha gått mörkt för ett par månader-till och med till den punkt där det inte att distribueras till alla — ransomware är återigen sprids genom Necurs botnät.
Men den här gången är det distribueras med en ny file extension som heter Diablo6, enligt Malwarebytes forskare som har observerat den nya kampanjen. Den nya Diablo variant kräver tillbaka till ett annat kommando och kontroll server än tidigare Locky kampanjer.
Som andra ransomware familjer, Locky distribueras via användning av spam e-postmeddelanden, just denna kampanj skickar dem i form av bifogade PDF-filer med inbäddade .DOCM-filer.
Om användaren laddar ner den bifogade filen och gör att makron som nyttolast önskemål, kommer de snart att finna att de har förlorat tillgång till filerna på sin dator och får veta att de måste betala en lösensumma för att få den “private key” från “hemliga server” på angriparna.
Medan Locky är långt mindre utbredd än vad det har varit, är och förblir det en risk att organisationer på grund av sin för stark kryptografi och det faktum att de som står bakom det fortfarande uppdatera och förändra innehållet och den taktik som används för att leverera det.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
“Upp-och nedgångar av Locky förblir höljda i dunkel. En sak tiden har lärt oss är att vi bör aldrig räkna med Locky är borta helt enkelt eftersom det inte är aktiva vid en viss given tidpunkt,” säger Marcelo Rivero, intelligens analytiker på Malwarebytes.
Det är inte första gången Locky har återkommit efter till synes försvinna. Det dök upp för att upphöra med sin verksamhet över Jul 2016, ledande forskare att spekulera i att dess utvecklare hade tagit en paus över julhelgen. Visst nog, den dykt upp igen i januari och infektioner har varit spetsa och släppa allt sedan dess.
Den plötsliga återkomsten av Locky potentiellt skulle kunna hänföras till dekryptering verktyg för Jaff ransomware som görs tillgängliga för gratis i juni. Jaff dök upp i Maj och var som sprids av samma Necurs botnät används för att sprida Locky.
Cyberbrottslingar distribuera ransomware, eftersom det tillåter dem att skörda belöningar med liten ansträngning. Det kan därför vara så att när Jaff — som krävde en lösensumma på $4.000 och använde en decryptor nästan identisk med den av Locky-var knäckt av säkerhetsfrågor, brottslingar bakom det har helt enkelt gått tillbaka till att använda Locky.
Medan de bakom Locky har ännu inte identifierats, forskare har noterat att den ransomware kommer att ta bort sig själv från den infekterade maskinen om den lokala språket är ryska, möjligen pekar mot den geografiska placeringen av utvecklare.
Tidigare täckning
Gudfadern av ransomware returnerar: Locky är tillbaka och sneakier än någonsin
Efter ett mystiskt försvinnande, Locky har reemerged — och lånar tekniker attack från Dridex.
Locky ransomware: Hur denna malware hot utvecklats på bara 12 månader
Skadlig kod blir flera uppdateringar som försöker att undgå upptäckt av bevakningsföretag.
Locky ransomware kampanjen utnyttjar rädslan av stulna data i OPM hacka
E-post tala om offer som de behöver för att ladda ner en bifogad fil för att visa “misstänkta aktiviteter” – sedan infekterar dem med ransomware.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Ransomware: smart person ‘ s guide [TechRepublic] Ingen mer ransomware: Hur en hemsida är att stoppa crypto-låsning skurkar i sin tracksAfter WannaCry, ransomware kommer att bli värre innan det blir betterMalware kommer nu med kundservice [MAG]it-relaterad Brottslighet Inc: Hur hacking gäng modellering sig på stora företag
0