Locky Ransomware retourne à Infect Windows XP et Vista

Le Locky RAnsomware mortel est de nouveau une fois de plus, mais cette fois, il semble que ce soit un effort à moitié cuit des cybercriminels associés, car il ne vise que les anciennes versions de Windows, à savoir XP et Vista uniquement. Il est distribué par courrier indésirable par le botnet Necurs. Dans les recherches précoces, on a laissé entendre que le même botnet Necurs était également derrière le Ransomware Locky qui a été publié l’année dernière et récemment, le renoncement de Jaff qui est considéré comme un successeur de Locky par de nombreux cyber-chercheurs. Ces derniers temps, Necurs a montré un changement vers Jaff plutôt que le locky.

Les chercheurs en sécurité de Kaspersky Labs ont trouvé plusieurs défauts dans la routine de cryptage de Jaff et conçus comme un nouvel outil utilitaire gratuit qui pourrait déchiffrer les fichiers cryptés par Jaff sans payer de rançon. Dans le cas de Locky, les chercheurs cybercaux n’ont jamais pu créer sa clé de décryptage. Ainsi, dès que le système de décodage gratuit pour Jaff ransomware a été diffusé par Kaspersky Lab et a été diffusé publiquement, le spam de Jaff a diminué et ses développeurs ont commencé à distribuer Locky une fois de plus. Cela leur donne une meilleure chance d’extorquer la rançon parce que l’outil de décryptage gratuit pour Locky n’a jamais été libéré jusqu’à maintenant.

Récemment, une nouvelle vague de spam a été détectée par de nombreux experts en sécurité, mais ils ont également vu qu’il n’était pas en mesure d’infecter leur machine de test. Ce pourrait être parce que le développeur de Jaff ransomare a essayé à la hâte de remplacer le Jaff par Locky et a commis plusieurs erreurs dans le déploiement dans la précipitation. Selon les experts de Cisco Talos, le PC fonctionnant sous Windows 7 ou plus tard avec la prévention de l’exécution de données provoque l’échec des déballers. Cela signifie que seul Windows XP et Vista sont affectés. Heureusement pour les utilisateurs, le développeur n’a pas réalisé ce bug et a commencé à distribuer considérablement le système de ransomawre.

Selon Cisco Talos Experts, les nouvelles variantes de locky représentaient environ 7,2% du trafic total de courriels indésirables ces derniers temps. C’est énormément énorme et, heureusement, il peut cibler moins de 10% de la base d’utilisateurs de Windows.

Fait intéressant, la nouvelle variante de Locky utilise toujours l’extension LOTPR ajoutée sur les fichiers chiffrés. Il a également la même structure d’URL pour les serveurs C & C.

Nouvelles tactiques utilisées pour la distribution Locky Ransomware

Les recherches montrent que le temps, le texte associé pour le contenu du corps et du corps du courrier électronique diffusant le ransomware Locky est différent. Toutefois, ces courriels dangereux encore présentés comme une facture, un reçu de paiement ou une confirmation de commande, etc. Il contient des pièces jointes avec une double structure ZIP imbriquée.

Les variantes Locky de ces dernières variantes possèdent une sorte de protection anti-débogage, de sorte que le ransomare est empêché lors de l’exécution de la machine virtuelle dans d’autres environnements de débogage. Dans l’ensemble, cela semble être un effort précipité du développeur car il a tant de défauts. Cependant, dans les jours suivants, nous pouvons voir sa version fixe, il est donc fortement recommandé d’avoir une protection correcte pour PC et la sécurité des pare-feu.