Il terribile ransomware è tornato con due nuove varianti: "Diablo" e "Lukitus".
I ricercatori di sicurezza hanno recentemente individuato due nuovi ceppi di Locky Ransomware Diablo e Lukitus. Come altri tipi di ransomware con blocco crittografico, sono progettati anche per crittografare i file su un PC e richiedere un riscatto in cambio della chiave di decrittazione. Queste nuove varianti sono state segnalate dai ricercatori il 16 agosto 2017.
"Il ransomware riguarda più la manipolazione delle vulnerabilità della psicologia umana che la sofisticazione tecnologica dell'avversario".
? James Scott
Locky è stata una delle principali forme di ransomware che ha avuto successo a livello globale. È apparso per la prima volta nel 2016 e alla fine dell’anno è scomparso. Ma se pensate che non rappresenti più una minaccia, vi sbagliate. Dopo essersi oscurato, Locky è tornato con la botnet Necurs, una delle più grandi botnet utilizzate per gli attacchi.
Dal 9 agosto in poi Locky è ricomparso utilizzando una nuova estensione di file ".diablo6" per crittografare i file con la nota di salvataggio: “diablo-.htm”. Diablo richiama un server di comando e controllo diverso. Insieme ad esso, c'è un'altra nuova variante che aggiunge l'estensione ".Lukitus" ai file crittografati.
È interessante notare che Lukitus significa bloccare in finlandese.
La nuova campagna invia e-mail di spam sotto forma di allegati PDF con file .DOCM incorporati. Se l'utente scarica l'allegato e abilita le macro come richiesto, perderà l'accesso ai file sul proprio computer.
Una volta crittografati tutti i dati, verrà richiesto un riscatto se i proprietari desiderano ricevere la chiave privata per decrittografare i dati. Locky è meno diffuso ma rappresenta comunque una seria minaccia a causa della sua potente crittografia.
Questa campagna apre gli occhi a tutti noi, che presumevano che Locky fosse scomparso semplicemente perché non è attivo per un periodo specifico . Questa non è la prima volta che Locky riappare, rimane avvolto nel mistero per qualche tempo e poi riappare con nuove infezioni.
L'improvvisa ricomparsa di Locky può essere collegata agli strumenti di decrittazione per il ransomware Jaff che sono stati creati disponibile a giugno. Jaff è apparso a maggio ed è stato diffuso dalla stessa botnet Necrus utilizzata per distribuire Locky.
Ciò dimostra che il ransomware non ci lascerà presto, quindi dobbiamo continuare a sviluppare nuove strategie e tecniche per combatterli .
Varianti bloccate, richiamata a un diverso server di comando e controllo (C2) e utilizzo dell'ID affiliato: AffilID3 e AffilID5
leggi: 0
