Nul
Cylance
Locky is een van de meest productieve soorten ransomware.
De toetreding tot de wil van WannaCry en Petya, Locky komt in veel verschillende smaken, waaronder Diablo6, Zepto, Thor, en Osiris, en lijkt niet te vertragen.
Enkele van de meest bekende gevallen gekoppeld aan Locky, zijn aanvallen op de core-diensten, met inbegrip van AMERIKAANSE ziekenhuizen.
In februari 2016, Locky werd gebruikt voor het verstoren van de Hollywood-Presbyterian Medical Center, verklaarde een “intern noodplan” als systemen, databases en essentiële informatie gecodeerd en personeelsleden werden vergrendeld.
Ziekenhuizen vertrouwen op elektronische records om te kijken na hun patiënten correct en plannen alles van afspraken, operaties, en geconfronteerd met een lange back-up proces en rampzalige verstoring in het ziekenhuis, gaf in en betaalde $17,000 in Bitcoin voor een decryptie sleutel.
Locky is ook gekoppeld aan een ransomware campagne in augustus van dit jaar, waarin maar liefst 23 miljoen phishing e-mails werden verstuurd in slechts 24 uur.
Volgens nieuw onderzoek uitgebracht door Cylance, een relatief nieuwe Locky variant, genaamd Diablo6, bevat een paar tweaks die het maken van detectie van de ransomware moeilijker voor traditionele antivirus-oplossingen en eindgebruikers.
In een blog post, het team zei Diablo6 voert een aanval in twee fasen. De eerste is een typische aanval voor ransomware-een spear phishing e-mail, waarin een .zip-archief, maar iets nieuws voor de Locky variant.
Terwijl het zich voordoet als een legitieme e-mail en bijlagen, het bestand eigenlijk bevat een VBS bestand die, wanneer gedecomprimeerd en geopend is, wordt geprobeerd verbinding te maken met Locky de command-and-control (C&C) server voor instructies.
Cylance
Als de verbinding is een succes, de VBS-script downloadt vervolgens de ransomware. Echter, moet dit stadium mislukt, is er een back-up van C&C-server waar het script probeert te downloaden van zijn lading.
Het woord “onderneming” wordt gebruikt wanneer u verbinding maakt met de gebruiker denkt dat de activiteit is een soort van legitieme zakelijke nut. Op hetzelfde moment, de VBS-script maakt gebruik van een string op te splitsen en het laden van de echte instructie. De lading wordt vervolgens gedownload en opgeslagen in een tijdelijke map voordat de uitvoering en het versleutelen van bestanden.
Cylance
De Locky Diablo6 ransomware is gericht op alle soorten bestanden in de codering quest, met inbegrip van afbeeldingen, video ‘ s, back-ups, en zip-bestanden. Wanneer de codering is voltooid, een los geld nota is uitgegeven op het home-scherm en vervolgens de codering script verwijdert zichzelf.
Domeinen verbonden met een mail.com e-mail adres is verbonden met Locky, en in totaal 333 domeinen zijn geregistreerd in 2016 en zoals onlangs in oktober van dit jaar.
De onderzoekers gebruik van de registrant om een oogje te houden op deze domeinen, die zijn gekoppeld aan het dienen van andere vormen van ransomware.
“In sommige gevallen, kunnen auteurs kleine veranderingen aan te brengen in hun code te houden van hun malware als gevaarlijk voor de eindgebruiker, omdat het de dag was waarop ze uitgebracht,” Cylance zegt. “Dit lijkt het geval met de Locky ransomware. Deze oude malware was niet nodig, alles nieuw, de auteurs achter Locky moest gewoon tweak het enige deel van het proces dat nooit kan worden opgelost — de eindgebruiker.”
In andere woorden, wanneer de malware is goed genoeg voor het genereren van frauduleuze inkomen, nieuwe aanval vectoren, zoals een verse set gemaakt van e-mail campagnes — wordt die nodig zijn om te houden van criminele activiteiten leven.
Deze maand, ProofPoint onderzoeker Matthew Mesa ook ontdekt er een nieuwe vorm van ransomware. Nagesynchroniseerde GIBON, de nieuwe soort maakt gebruik van macro ‘s die zijn ingesloten in schadelijke documenten verspreid via phishing campagnes te vergrendelen Pc’ s. Echter, als de ransomware zo nieuw is, is er weinig bekend over de eisen, doel demografie, of oorsprong.
Vorige en aanverwante dekking
Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
Bijgewerkt: Alles wat je moet weten over ransomware: hoe het begon, waarom het is booming, hoe om te beschermen tegen en wat te doen als uw PC is geïnfecteerd.
Kijk uit: GIBON komt de ransomware ruimte
De nieuwe ransomware soort is de laatste voor het targeten van uw PC voor geld.
‘Enorme’ Locky ransomware campagne in ziekenhuizen
FireEye hebben de onderzoekers zagen een golf van cyberaanvallen op ziekenhuizen in de VS — en ze zijn met een nieuwe infectie techniek.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0