بازگشت باج افزار Locky

منتشر شده در دسته : بلاگ

بازگشت باج افزار Locky خبر داغ ! آتش زیر خاکستر یا آرامش قبل از طوفان. هر چه اسم آن را بگذارید باج افزار Locky با کمپین اسپم جدید ایمیل باز می گردد.

بازگشت باج افزار Locky

گزارش های بدست آمده از Malware Cyber Tactics ما را بر آن داشت تا از خودمان بپرسیم چه اتفاقی برای باج افزار مخرب Locky رخ داده است و این امید بدست آمد که مجرمان سایبری این تجارت کثیف را کنار گذاشته اند. هرچند به احتمال زیاد آنها به صحبت های ما می خندیدند و درحال آماده سازی کمپین اسپم جدیدی بودند.

اخیرا محققان امنیتی موج جدیدی از ایمیل های اسپم را شناسایی کرده اند که شامل این انگل کثیف می باشد. این طور به نظر می رسد که مجرمان سایبری بازگشته و قصد دارند از رایانه کاربران بی گناه کسب درآمد کنند. کمپین جدید اسپم ایمیل سعی دارد کاربران را قانع کند که پول دریافت کرده اند. این ایمیل ها را می توان از عنوان ایمیل به سادگی شناسایی کرد. عنوان هایی همچون Payment Receipt 2724 , Payment Receipt_739 , Receipt 435 و ….

این شماره ها و اسامی فرستنده ها و ایمیل های آنها متغیر هستند. احتمالا تظاهر می کنند که از یک شرکت بانکی و یا فروشگاه آنلاین و .. هستند. در صورتیکه با شماره موجود در ایمیل تماس گرفته تا اطلاعات بیشتری دریافت کنید, هیچ چیزی بدست نمی آورید.

قبل از بازکردن این پیام های ایمیل مخرب و به ویژه قبل از باز کردن مستندات پیوست شده به آن کمی فکر کرده و بر روی دکمه Mark as Spam کلیک کرده و آن را به کلی حذف کنید.ایمیل های مخرب دارای پیوست های اسناد PDF بوده و فایل های با اسامی تصادفی رشته و اعداد مثلا P324312.pdf می باشد.

مسلما فایل های مبهم شده PDF دارای بدافزار Locky می باشد. به محض اینکه فایل های PDF مخرب باز گردد, اسکریپت مخرب یک فایل Word باز می کند و دستورهای ماکرو اجرا شده و یک باینری Locky دریافت شده و درست همان سناریو قبلی که Locky استفاده می کرد. بدافزار در مسیر زیر ذخیره و اجرا می شود :

%Temp%\redchip2.exe

پس از اجرا بلافاصله اقدام به رمزنگاری فایل های کاربران با الگوریتم های رمزنگاری RSA-2048 و ASE-128 می کند و پسوند OSIRIS را به فایل ها اضافه می کند. خطرناک ترین باج افزار سال 2016 هنوز قابلیت رمزگشایی را ندارد. در نتیجه پیشگیری و همه روش های بازدارنده در حین دریافت ایمیل های مخرب توصیه می شود. هیچ ایمیل ناشناسی را باز نکنید و در صورت اجبار به هیچ وجه فایل های پیوست شده را بر روی سیستم خود اجرا نکنید.

خوشحال می شویم دیدگاههای خود را در میان بگذارید * فرصت پاسخگویی به سوالات در بلاگ وجود ندارد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *