by Bill Brenner
Locky 曾經是最熱門的勒索軟體之一,一段時間以後,它消失無影無蹤,由 Cerber 和 Spora 等勒索軟體取而代之。但在過去幾個星期裡,Locky 又回歸了。
上週,我們發現它出現了一個副檔名為 .diablo6 的新變種。本週,我們的研究人員看到更多變種出現,如副檔名為 .lukitus 的新變種。SophosLabs 研究員 Dorka Palotay 表示,Locky 新變種會執行一般 Locky 的行為:
它經由垃圾郵件傳播,並附帶一個 .js 檔案的 .zip 附件 (如 20170816436073213.js)。它會下載實際的攻擊裝載,用以加密檔案。
電子郵件特性、攻擊裝載
.lukitus 變種中包含電子郵件主旨 (如 “付款”),和如以下的內文:
Diablo 變種則使用內文 “請見附件。謝謝”,而寄件者的電子郵件地址與收件者的網域相同。電子郵件中附帶了 .zip 附件 “E 2017-08-09 (957).zip”,其中包含一個名為 “E 2017-08-09 (972).vbs” 的 VBscript 下載器。然後該指令碼將從一個結尾為 /y872ff2f 的位址下載 Locky 的攻擊裝載。
.lukitus 變種會連線到以下位址的命令與控制伺服器:
- hxxp://185[.]80[.]148[.]137/imageload.cgi
- hxxp://91[.]228[.]239[.]216/imageload.cgi
- hxxp://31[.]202[.]128[.]249/imageload.cgi
diablo6 版本的變種會連線到以下位址的命令與控制伺服器:
- 217.8.61/checkupdate
- 202.130.9/checkupdate
- 234.35.106/checkupdate
防禦措施:惡意附件
Sophos 能保護客戶免受最新的 Locky 威脅。但牢記以下建議有助提升安全:
- 如果您收到來自不明寄件者且包含附件的電子郵件,請勿打開它。
- 設定 Windows 顯示檔案的副檔名。藉此可以察覺檔案是否為它們看起來的類型。
- 使用具備常駐存取掃描程式 (也稱為即時保護) 的防毒軟體。藉此可以協助您以多層式的防禦方式阻擋這種類型的惡意軟體。例如可以阻擋一個作為誘餌的 PDF 或 HTA 檔案。
- 考慮採用更嚴格的電子郵件閘道設定。部分員工比其他人更容易受到惡意軟體的欺騙 (如訂單處理部門),他們會受惠於更嚴格的預防措施,而不是造成不便。
防禦措施:勒索軟體
防範勒索軟體的最佳防禦就是一開始就不要被感染,所以我們發表了一份對您很有用的《如何持續防範勒索軟體》指南:
您也可以聆聽我們的 Techknow 播客:如何防範勒索軟體:
英文原文: https://nakedsecurity.sophos.com/2017/08/17/its-baaaack-locky-ransomware-is-on-the-rise-again/
(本博文為翻譯本,內容以英文原文為準)