Resgates Locky retorna para infectar o Windows XP e vista

O resgate mortal Locky está de volta, mais uma vez, mas desta vez parece que um esforço cozido a partir de criminosos cibernéticos associados, como é apenas a segmentação das versões mais antigas do Windows ou seja, XP e vista apenas. Ele está sendo distribuído através de e-mails de spam pela botnet Necurs. Em pesquisas iniciais, tem havido indícios de que o mesmo Necurs botnet também estava por trás do resgate de armários que foi lançado no ano passado e, recentemente, o Tati ransomare que é considerado como um sucessor de Locky por muitos cyber-pesquisadores. Nos últimos tempos, Necurs tem mostrado uma mudança para Tati ao invés de Locky.

Os pesquisadores de segurança da Kaspersky Labs encontrou várias falhas na rotina de criptografia Tati e projetado como ferramenta de novo utilitário gratuito que poderia descriptografar os arquivos criptografados por Tati sem pagar qualquer resgate. Em caso de bloqueio, os pesquisadores cibernéticos nunca foram capazes de criar sua chave de descriptografia. Assim, logo que o código de descriptografia livre para Tati Ransome foi lançado pela Kaspersky Lab e foi distribuído publicamente, o spam Tati caiu, e seus desenvolvedores começaram a distribuir Locky mais uma vez. Isso lhes dá uma melhor chance de extorquir resgate, porque a ferramenta de descriptografia livre para Locky nunca foi liberado até agora.

Recentemente, uma nova onda de spam foi detectado por muitos especialistas em segurança, mas eles também viram que ele era incapaz de infectar sua máquina de teste. Poderia ser porque o desenvolvedor de Tati ransomare apressadamente tentou substituir o Tati com Locky e cometeu vários erros na implantação em pressa. De acordo com especialistas da Cisco talos, o PC rodando na versão do Windows 7 ou mais tarde com a prevenção de execução de dados está fazendo com que os un-Packers falhem. Isto significa que somente Windows XP e vista são afetados. Felizmente para os usuários, o desenvolvedor não percebeu esse bug e começou a distribuir ransomawre consideravelmente.

De acordo com os especialistas Cisco talos, as novas variantes Locky contabilizados cerca de 7,2% do tráfego total de e-mails de spam do tempo recente. Isso é insanamente enorme e felizmente ele pode atingir menos de 10% da base de usuários do Windows.

Curiosamente, a variante recentemente bloqueado ainda usa LOTPR extensão anexada nos arquivos criptografados. Ele também tem a mesma estrutura de URL para servidores c.

Novas táticas usadas para a distribuição de resgates

As pesquisas mostram que o tempo, o texto associado para o corpo do e-mail e conteúdo do corpo espalhando resgates trancados é diferente. No entanto, tais e-mails perigosos spam ainda apresentado como fatura, recibo de pagamento ou confirmação de ordem etc. Ele contém anexos de arquivo com estrutura zip dupla aninhada.

Este recém variantes Locky variantes tem algum tipo de proteção contra depuração, portanto, o ransomare é impedido na execução da máquina virtual de outros ambientes de depuração. Globalmente, este parece ser um esforço apressado do desenvolvedor, pois tem tantas falhas. No entanto, nos dias seguintes, podemos ver a sua versão fixa por isso é altamente recomendável ter uma proteção de PC adequada e segurança firewalls.