Il ritorno del ransomware Locky

Le nuove minaccePer gli utentiRansomware
ransomware locky

Un tempo Locky era tra i ceppi di ransomware più diffusi. Nel tempo, si è perso di vista, sostituito da ransomware come Cerber e Spora. Ma nelle ultime due settimane, Locky è tornato.

Le scorse settimane si è manifestato con una nuova estensione: .diablo6. In questi giorni invece i ricercatori hanno individuato nuove varianti, ora con un’estensione .lukitus. La ricercatrice di SophosLabs, Dorka Palotay, ha affermato che le nuove varianti seguono il solito comportamento di Locky:

“Si propaga attraverso un’email spam con un allegato .zip che contiene un file .js (ad esempio 20170816436073213.js ). Quindi scarica il vero payload che poi cifra i file.”

Caratteristiche delle email

La variante .lukitus si presenta come una mail con il soggetto “PAYMENT” ed il seguente testo:

La variante Diablo usa il contenuto “File allegati. Grazie “e l’indirizzo email del mittente ha lo stesso dominio del destinatario. Le email vengono recapitate con l’allegato “E 2017-08-09 (957) .zip”, che contiene un downloader VBScript chiamato “E 2017-08-09 (972) .vbs”. Lo script quindi scarica il payload Locky da un indirizzo che termina con / y872ff2f.

La versione .lukitus si connette al suo server di comando e controllo tramite questi indirizzi:

  • hxxp://185[.]80[.]148[.]137/imageload.cgi
  • hxxp://91[.]228[.]239[.]216/imageload.cgi
  • hxxp://31[.]202[.]128[.]249/imageload.cgi

La versione diablo6 si connette al suo server di comando e controllo tramite questi indirizzi:

  • 217.8.61/checkupdate
  • 202.130.9/checkupdate
  • 234.35.106/checkupdate

Misure difensive: attacchi malevoli

Sophos protegge i suoi clienti dalle ultime campagne Locky. Ma è sicuramente d’aiuto tenere a mente i seguenti suggerimenti:

  • Se ricevete un allegato da qualsiasi tipo di email da una persona che non conoscete NON APRITELO.
  • Configurate Windows affinché mostri l’estensione dei file. In questo modo avrete la possibilità di individuare i file che non sono ciò che sembrano essere.
  • Usate un antivirus o uno scanner on-access (conosciuto anche come protezione real-time). Questo vi aiuterà a bloccare malware di questo tipo, ad esempio bloccando fin dall’inizio un file HTA o PDF booby-trapped.
  • Prendete in considerazione l’idea di adottare impostazioni del gateway di posta elettronica più severe. Alcuni membri del personale sono più esposti all’invio di malware rispetto ad altri (come il reparto di elaborazione degli ordini) e possono trarre vantaggio da precauzioni più rigorose.

Misure difensive: ransomware

La migliore difesa contro il ransomware è in primo luogo quella di non essere infettati, quindi abbiamo pubblicato una guida intitolata “Come rimanere protetti contro il ransomware” che riteniamo utile:

ransomwares

È inoltre possibile ascoltare il nostro podcast “Techknow” che si occupa di Ransomware.

Tratto dall’articolo “It’s baaaack: Locky ransomware is on the rise again” di Bill Brenner, Naked Security Blog

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.