Noll
En koncentrerad spam-kampanjen driver ransomware är som riktar sig till företag i Europa, kryptera filer och krävande offer betalar en lösensumma för att hämta dem.
Dubbade PyLocky av forskare, malware anspråk på att vara Locky, men det är helt orelaterat till vad som var en av de mest produktiva ransomware familjer av förra året.
Den nya ransomware, som först dök upp i juli av forskare på Trend Micro visar att ransomware är inriktad på målen i Europa, med Frankrike som ett särskilt mål för skadlig kod i slutet av augusti, nästan två tredjedelar av PyLocky var spam som skickas till offer i Frankrike, tillsammans med en rad skickas till adresser som är associerade med den Nya Calendoa, ett franskt territorium i Södra Stilla havet.
Tyskland först bar bördan av kampanjen, som står för över hälften av mål i början av augusti, men i slutet av månaden stod för drygt en fjärdedel av de spam e-postmeddelanden som skickas ut.
De som står bakom kampanjen har förberett för PyLocky att rikta offer i olika länder, med lösen not tillgängliga på engelska, franska och andra språk, däribland italienska och koreanska – vilket tyder på att attacker mot andra regioner är potentiellt planerat.
Se även: Vad är ransomware? Allt du behöver veta om en av de största hot på webben
Som många skadliga kampanjer, attacker börjar med phishing e-post för att lura offer till att köra en skadlig nyttolast. I detta fall, meddelandets ämne linjer är fokuserad kring fakturor och uppmanar användaren att klicka på en länk som driver dem mot en URL som används för att leverera PyLocky.
Skadlig URL: en innehåller en ZIP-fil som när den körs droppar flera C++ och Python bibliotek skadliga komponenter tillsammans med de viktigaste ransomware körbara ‘lockyfud.exe” som skapas med hjälp av PyInstaller, ett legitimt verktyg som används för att bunta ihop Python-program i fristående körbara filer.
För att undvika upptäckt av sandbox säkerhetsprogram, malware kommer att sova för 999.999 sekunder-bara över 11 och en halv dagar – om de berörda systemets totala synligt minne storlek är mindre än 4 gb.
När en maskin har varit krypterat, PyLocker kommer att visa en gisslan anteckning som påstår sig vara Locky ransomware och kräver en lösensumma betalas i cryptocurrency för att “återställa” – filer – användare veta att om de inte betalar, lösen kommer att fördubblas varje 96 timmar i vad som är ett försök att skrämma offret att betala upp förr snarare än senare.
Pylocky anspråk på att vara Locky ransomware.
Bild: Trend Micro
Den ursprungliga Locky var en av de mest produktiva former av ransomware av 2017, men det försvann mot slutet av året och har inte dykt upp sedan dess. Det är troligt att angriparna bakom PyLocky försöker att handla av namnet på en ökänd form av skadlig kod i ett försök att göra en snabb buck för sig själva.
Medan Locky har försvunnit och några cyber brottslingar har sjunkit ransomware för andra skadliga kampanjer, fil-låsning malware är fortfarande ett hot mot organisationer – särskilt när dessa organisationer är särskilt utsatta.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Locky ransomware: Hur denna malware hot utvecklats på bara 12 månaderFalska cryptocurrency app installeras ransomware på din dator [MAG]WannaCry ransomware krisen, ett år: Är vi redo för nästa globala it-attack?Undvik ransomware betalningar genom att skapa en solid data backup plan [TechRepublic]Nya ransomware kommer med en dold funktion som tips på mer sofistikerade attacker för att komma
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0