Un tempo Locky era tra i ceppi di ransomware più diffusi. Nel tempo, si è perso di vista, sostituito da ransomware come Cerber e Spora. Ma nelle ultime due settimane, Locky è tornato.
Le scorse settimane si è manifestato con una nuova estensione: .diablo6. In questi giorni invece i ricercatori hanno individuato nuove varianti, ora con un’estensione .lukitus. La ricercatrice di SophosLabs, Dorka Palotay, ha affermato che le nuove varianti seguono il solito comportamento di Locky:
“Si propaga attraverso un’email spam con un allegato .zip che contiene un file .js (ad esempio 20170816436073213.js ). Quindi scarica il vero payload che poi cifra i file.”
Caratteristiche delle email
La variante .lukitus si presenta come una mail con il soggetto “PAYMENT” ed il seguente testo:
La variante Diablo usa il contenuto “File allegati. Grazie “e l’indirizzo email del mittente ha lo stesso dominio del destinatario. Le email vengono recapitate con l’allegato “E 2017-08-09 (957) .zip”, che contiene un downloader VBScript chiamato “E 2017-08-09 (972) .vbs”. Lo script quindi scarica il payload Locky da un indirizzo che termina con / y872ff2f.
La versione .lukitus si connette al suo server di comando e controllo tramite questi indirizzi:
- hxxp://185[.]80[.]148[.]137/imageload.cgi
- hxxp://91[.]228[.]239[.]216/imageload.cgi
- hxxp://31[.]202[.]128[.]249/imageload.cgi
La versione diablo6 si connette al suo server di comando e controllo tramite questi indirizzi:
- 217.8.61/checkupdate
- 202.130.9/checkupdate
- 234.35.106/checkupdate
Misure difensive: attacchi malevoli
Sophos protegge i suoi clienti dalle ultime campagne Locky. Ma è sicuramente d’aiuto tenere a mente i seguenti suggerimenti:
- Se ricevete un allegato da qualsiasi tipo di email da una persona che non conoscete NON APRITELO.
- Configurate Windows affinché mostri l’estensione dei file. In questo modo avrete la possibilità di individuare i file che non sono ciò che sembrano essere.
- Usate un antivirus o uno scanner on-access (conosciuto anche come protezione real-time). Questo vi aiuterà a bloccare malware di questo tipo, ad esempio bloccando fin dall’inizio un file HTA o PDF booby-trapped.
- Prendete in considerazione l’idea di adottare impostazioni del gateway di posta elettronica più severe. Alcuni membri del personale sono più esposti all’invio di malware rispetto ad altri (come il reparto di elaborazione degli ordini) e possono trarre vantaggio da precauzioni più rigorose.
Misure difensive: ransomware
La migliore difesa contro il ransomware è in primo luogo quella di non essere infettati, quindi abbiamo pubblicato una guida intitolata “Come rimanere protetti contro il ransomware” che riteniamo utile:
È inoltre possibile ascoltare il nostro podcast “Techknow” che si occupa di Ransomware.
Tratto dall’articolo “It’s baaaack: Locky ransomware is on the rise again” di Bill Brenner, Naked Security Blog