Il ritorno del ransomware Locky

Le nuove minaccePer gli utentiRansomware
ransomware locky

Un tempo Locky era tra i ceppi di ransomware più diffusi. Nel tempo, si è perso di vista, sostituito da ransomware come Cerber e Spora. Ma nelle ultime due settimane, Locky è tornato.

Le scorse settimane si è manifestato con una nuova estensione: .diablo6. In questi giorni invece i ricercatori hanno individuato nuove varianti, ora con un’estensione .lukitus. La ricercatrice di SophosLabs, Dorka Palotay, ha affermato che le nuove varianti seguono il solito comportamento di Locky:

“Si propaga attraverso un’email spam con un allegato .zip che contiene un file .js (ad esempio 20170816436073213.js ). Quindi scarica il vero payload che poi cifra i file.”

Caratteristiche delle email

La variante .lukitus si presenta come una mail con il soggetto “PAYMENT” ed il seguente testo:

La variante Diablo usa il contenuto “File allegati. Grazie “e l’indirizzo email del mittente ha lo stesso dominio del destinatario. Le email vengono recapitate con l’allegato “E 2017-08-09 (957) .zip”, che contiene un downloader VBScript chiamato “E 2017-08-09 (972) .vbs”. Lo script quindi scarica il payload Locky da un indirizzo che termina con / y872ff2f.

La versione .lukitus si connette al suo server di comando e controllo tramite questi indirizzi:

  • hxxp://185[.]80[.]148[.]137/imageload.cgi
  • hxxp://91[.]228[.]239[.]216/imageload.cgi
  • hxxp://31[.]202[.]128[.]249/imageload.cgi

La versione diablo6 si connette al suo server di comando e controllo tramite questi indirizzi:

  • 217.8.61/checkupdate
  • 202.130.9/checkupdate
  • 234.35.106/checkupdate

Misure difensive: attacchi malevoli

Sophos protegge i suoi clienti dalle ultime campagne Locky. Ma è sicuramente d’aiuto tenere a mente i seguenti suggerimenti:

  • Se ricevete un allegato da qualsiasi tipo di email da una persona che non conoscete NON APRITELO.
  • Configurate Windows affinché mostri l’estensione dei file. In questo modo avrete la possibilità di individuare i file che non sono ciò che sembrano essere.
  • Usate un antivirus o uno scanner on-access (conosciuto anche come protezione real-time). Questo vi aiuterà a bloccare malware di questo tipo, ad esempio bloccando fin dall’inizio un file HTA o PDF booby-trapped.
  • Prendete in considerazione l’idea di adottare impostazioni del gateway di posta elettronica più severe. Alcuni membri del personale sono più esposti all’invio di malware rispetto ad altri (come il reparto di elaborazione degli ordini) e possono trarre vantaggio da precauzioni più rigorose.

Misure difensive: ransomware

La migliore difesa contro il ransomware è in primo luogo quella di non essere infettati, quindi abbiamo pubblicato una guida intitolata “Come rimanere protetti contro il ransomware” che riteniamo utile:

ransomwares

È inoltre possibile ascoltare il nostro podcast “Techknow” che si occupa di Ransomware.

Tratto dall’articolo “It’s baaaack: Locky ransomware is on the rise again” di Bill Brenner, Naked Security Blog

 

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...

This site uses Akismet to reduce spam. Learn how your comment data is processed.