Den fruktansvärda ransomwaren är tillbaka med två nya varianter nämligen "Diablo" och "Lukitus".
Säkerhetsforskare har nyligen upptäckt två nya Locky Ransomware-stammar Diablo och Lukitus. Liksom andra typer av kryptolåsande ransomware är de också utformade för att kryptera filer på en PC och kräva en lösensumma i utbyte mot dekrypteringsnyckeln. Dessa nya varianter rapporterades av forskare den 16 augusti 2017.
"Ransomware handlar mer om att manipulera sårbarheter i mänsklig psykologi än motståndarens tekniska sofistikering".
? James Scott
Locky har varit en av de största formerna av ransomware som blev globalt framgångsrika. Första gången den dök upp 2016 och i slutet av året försvann den. Men om du tror att det inte längre utgör ett hot så har du fel. Efter att ha blivit mörkare är Locky tillbaka med Necurs botnet som är ett av de största botnäten som används för attacker.
Från den 9 augusti och framåt har Locky gjort ett nytt uppträdande igen med hjälp av ett nytt filtillägg ".diablo6" för att kryptera filer med räddningsanteckningen: ”diablo- .htm”. Diablo ringer tillbaka till en annan kommando- och kontrollserver. Tillsammans med den finns det en annan ny variant som lägger till tillägget '.Lukitus' till krypterade filer.
Intressant nog betyder Lukitus låsning på finska.
Den nya kampanjen skickar skräppost i form av PDF-bilagor med inbäddade .DOCM-filer. Om användaren laddar ner bilagan och aktiverar makron som begärt kommer de att förlora åtkomst till filerna på sin dator.
När all data är krypterad kräver den en lösensumma om ägarna vill få den privata nyckeln för att dekryptera data. Locky är mindre utbredd men det är fortfarande ett allvarligt hot på grund av dess starka kryptografi.
Den här kampanjen är en ögonöppnare för oss alla, som antog att Locky är borta helt enkelt för att den inte är aktiv under en viss tid . Det är inte första gången som Locky dyker upp igen, den förblir höljd i mystik en tid och dyker sedan upp med nya infektioner.
Det plötsliga återuppkomsten av Locky kan relateras till dekrypteringsverktygen för Jaff ransomware som skapades tillgänglig i juni. Jaff dök upp i maj och spreds av samma Necrus-botnät som användes för att distribuera Locky.
Detta bevisar att ransomware inte kommer att lämna oss snart, så vi måste fortsätta att utveckla nya strategier och tekniker för att bekämpa dem .
Låsta varianter, återuppringning till en annan kommando- och kontrollserver (C2) och använd affiliate-id: AffilID3 och AffilID5
Läs: 0
