Locky се завръща с по-голяма сила
След отбелязания спад през първата седмица на Юни, спам кампаниите, дистрибутиращи Locky crypto-ransomware се завръщат по-агресивни от всякога. Обикновено наблюдаваме около 4000-10,000 спам удара на ден по време на кампания.
В периода 6-8 Юли станахме свидетели на значителното завишение от около 30,000 удара в час, което увеличава дневния удари до 120,000.
На 12 Юли бяха реализирани две нови кампании с тотално различен магнитуд: повече от 120,000 спам удара/час. С други думи, над 200 пъти повече от обичайното.
Subject-а на имейлите в едната кампания изглежда празен, “Fw:”, с прикачен zip файл с името: xls_convert_recipientname_randomnumber.zip. Тялото на съобщението индикира, че прикачения файл съдържа заявената фактура в Excel формат. Използвайки тези техники за социално инженерство атакуващият се опитва да подмами потребителя да отвори прикачения файл. Вместо това, zip файла стартира JScript, който сваля и изпълнява останалата част от Locky ransomware.
Втората кампания е със Subject на имейлите “Profile” и аналогичен прикачен zip файл с име: recipientname_profile_randomnumber.zip.
F-Secure засича тези варианти под следните имена:
- Trojan-Downloader:JS/Kavala.S
- Trojan-Downloader:JS/Locky.T
- Trojan:W32/Locky.X!DeepGuard
Повече информация можете да намерите на: https://labsblog.f-secure.com/2016/07/13/a-new-high-for-locky/.
