它又出現了!Locky 勒索軟體重現江湖

CorporateLockyRansomware

by 

Locky 曾經是最熱門的勒索軟體之一,一段時間以後,它消失無影無蹤,由 CerberSpora 等勒索軟體取而代之。但在過去幾個星期裡,Locky 又回歸了。

上週,我們發現它出現了一個副檔名為 .diablo6 的新變種。本週,我們的研究人員看到更多變種出現,如副檔名為 .lukitus 的新變種。SophosLabs 研究員 Dorka Palotay 表示,Locky 新變種會執行一般 Locky 的行為:

它經由垃圾郵件傳播,並附帶一個 .js 檔案的 .zip 附件 (如 20170816436073213.js)。它會下載實際的攻擊裝載,用以加密檔案。

 

電子郵件特性、攻擊裝載

.lukitus 變種中包含電子郵件主旨 (如 “付款”),和如以下的內文:

Diablo 變種則使用內文 “請見附件。謝謝”,而寄件者的電子郵件地址與收件者的網域相同。電子郵件中附帶了 .zip 附件 “E 2017-08-09 (957).zip”,其中包含一個名為 “E 2017-08-09 (972).vbs” 的 VBscript 下載器。然後該指令碼將從一個結尾為 /y872ff2f 的位址下載 Locky 的攻擊裝載。

.lukitus 變種會連線到以下位址的命令與控制伺服器:

  • hxxp://185[.]80[.]148[.]137/imageload.cgi
  • hxxp://91[.]228[.]239[.]216/imageload.cgi
  • hxxp://31[.]202[.]128[.]249/imageload.cgi

 

diablo6 版本的變種會連線到以下位址的命令與控制伺服器:

  • 217.8.61/checkupdate
  • 202.130.9/checkupdate
  • 234.35.106/checkupdate

 

防禦措施:惡意附件

Sophos 能保護客戶免受最新的 Locky 威脅。但牢記以下建議有助提升安全:

  • 如果您收到來自不明寄件者且包含附件的電子郵件,請勿打開它。
  • 設定 Windows 顯示檔案的副檔名。藉此可以察覺檔案是否為它們看起來的類型。
  • 使用具備常駐存取掃描程式 (也稱為即時保護) 的防毒軟體。藉此可以協助您以多層式的防禦方式阻擋這種類型的惡意軟體。例如可以阻擋一個作為誘餌的 PDF 或 HTA 檔案。
  • 考慮採用更嚴格的電子郵件閘道設定部分員工比其他人更容易受到惡意軟體的欺騙 (如訂單處理部門),他們會受惠於更嚴格的預防措施,而不是造成不便。

 

防禦措施:勒索軟體

防範勒索軟體的最佳防禦就是一開始就不要被感染,所以我們發表了一份對您很有用的《如何持續防範勒索軟體》指南:

ransomwares

您也可以聆聽我們的 Techknow 播客:如何防範勒索軟體:

立即聆聽

 

英文原文: https://nakedsecurity.sophos.com/2017/08/17/its-baaaack-locky-ransomware-is-on-the-rise-again/

(本博文為翻譯本,內容以英文原文為準)

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.