Locky ha ransomware una nuova versione. Questo è molto probabile che sia una risposta alla nuova variante Cerber ransomware e di tenere il passo la rivalità tra i due cryptoviruses. Inoltre, alcune delle email di spam verrà fatto per assomigliare a ordini di acquisto da aziende ben note, come un’amazzone e può essere correlata al prossimo Venerdì nero e Cyber Lunedi. I file diventano criptato con una nuova .zzzzz estensione. La nuova serie di questo virus utilizza un file .js per il suo carico, ma sembra mancare un server C & C (Comando e Controllo), secondo i ricercatori. Per vedere come rimuovere il ransomware e come si può cercare di ripristinare i file, leggere attentamente l’intero articolo.

Locky ransomware – Infezione Diffusione

La nuova versione del ransomware Locky si basa su metodi tradizionali per diffondere la sua infezione. Il cryptovirus utilizza una campagna di e-mail spam che distribuisce principalmente spoof e-mail su siti web di vendita popolari.

Principalmente aziende come la Royal Mail, FedEx e DHL Express sono citati come corrieri per la consegna di un ordine che voi o il vostro posto di lavoro presumibilmente fatto. C’è un nome di un mittente e una e-mail che sembrano essi sono correlati ad una società o di lavoro, e un soggetto di nome “Ordine # 34.342.123” (dove i numeri sono casuali).

Più serie di messaggi di posta elettronica vengono diffuse pure. Queste e-mail sono piuttosto brevi e dichiarano quanto segue:

Dear [your name], our HR Department told us they haven’t received the receipt you’d promised to send them. Fines may apply from the third party. We are sending you the details in the attachment.
Please check it out when possible.

Traduzione italiana:

Caro [il tuo nome], il nostro Ufficio Risorse Umane ha dichiarato che non hanno ricevuto la ricevuta che ci ha promesso di inviare loro. Sono previste multe da terzi. Vi inviamo i dettagli in allegato.
Si prega di verificare fuori quando possibile.

Non importa quale sia il corpo e-mail è, un allegato è sempre presente con la lettera elettronica. L’allegato è un file di archivio, il più delle volte di essere .zip e tale archivio contiene un file .js payload. Lo script è dannoso e, una volta eseguito infetterà con Locky ransomware. In alcuni paesi l’estensione .aesir di Locky è ancora visto come il risultato di caricamento del file payload.

Sembra che il file .js carica il downloader Trojan conosciuto come Nemucod. I paesi che sono colpiti sono gli Stati Uniti, Canada, Taiwan, Vietnam, Sud Africa secondo i ricercatori di malware dal MalwareHunterTeam. Altri paesi sono mirati ma possono ottenere il .aesir estensione.

Locky ransomware è anche diffuso in tutto i siti di social media come Facebook. Evitare tutte le sospette o sconosciute link, allegati o file come regola generale. Prima di aprire qualsiasi file, eseguire sempre un controllo con un programma di sicurezza. Si consiglia di leggere i suggerimenti di prevenzione ransomware nel nostro forum per conoscere più metodi su combattendo tali minacce.

Locky ransomware – Analisi dettagliata

Locky ransomware è stato rilasciato con una nuova versione con una diversa estensione – .zzzzz. La versione precedente è stato rilasciato solo pochi giorni fa e ancora in corso di distribuzione simultaneamente come la più recente serie di virus che è emersa prima di oggi. Messaggi di posta elettronica contenente un file di archivio chiamato order_ [il tuo nome] .zip che contiene lo script js dannoso. Alcune delle locazioni di download può essere vista qui:

musicphilicwinds.org/q2spze
jxhyhz.com/pgkf09
stivyiseum.com/faphs9m
mschroll.de/pgdom
derekglum.net/ecesblt

Non aprire questi collegamenti, in quanto contengono il malware – questo è puramente per informare circa noti URL di download.

Questa versione di Locky che utilizza l’estensione .zzzzz dopo la crittografia, non fa uso di C & C server (Comando e Controllo), ma un file .tdb per il suo punto di ingresso, secondo i ricercatori di malware.

Dopo l’esecuzione del carico, i file verranno crittografati, e una richiesta di riscatto verranno visualizzati sul desktop. Una copia della nota con le istruzioni di pagamento sarà effettuato in file con il nome _1-INSTRUCTION.html.

La richiesta di riscatto con le istruzioni è impostato come sfondo del desktop, ed è lo stesso come passato iterazioni:

Nel testo si legge quanto segue:

!!! INFORMAZIONI IMPORTANTI !!!

Tutti i file sono criptati con RSA-2048 e cifrari AES-128.
Maggiori informazioni sulla RSA e AES può essere trovato qui:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decifrare dei file è possibile solo con la chiave privata e decifrare programma, tutti che è sul nostro server segreto.
Per ricevere la chiave privata seguire uno dei link:
1. [Redacted] 2. [Redacted] Se tutto questo gli indirizzi non sono disponibili, attenersi alla seguente procedura:
1. Scaricare e installare Tor Browser: https://www.torproject.org/download/download-easy.html
2. Al termine dell’installazione, eseguire il browser e attendere l’inizializzazione.
3. Digitare nella barra degli indirizzi: [Redacted] 4. Seguire le istruzioni sul sito.
!!! Il tuo ID di identificazione personale: [Redacted] !!!

Il ransomware Locky è da nessuna parte vicino ad essere battuto, come la crittografia è forte e ricercatori non hanno riferito di aver avuto difetti trovati nel suo codice. Precedente locky vittime ransomware hanno riferito che non avevano successo nel recuperare i propri file dopo aver pagato il riscatto per i criminali informatici. Quindi, non vi è alcun motivo per voi di contattare i ladri o pagando loro. Per questo momento vediamo solo che i creatori di malware continuano a sviluppare nuove versioni dei loro ransomware e continueranno a farlo.

i ricercatori di malware hanno confermato che le estensioni dalla variante precedente del Locky sono ricercati per essere codificato in questo pure. L’elenco comprende più di 450 estensioni di file:

001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .7zip, .ARC, .CSV, .DOC, .DOT, .MYD, .MYI, .NEF, .PAQ, .PPT, .RTF, .SQLITE3, .SQLITEDB, .XLS, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db3, .db_journal, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .m3u, .m4a, .m4p, .m4u, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ms11, .msg, .myd, .n64, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vb, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip

I file crittografati avranno l’estensione .zzzzz aggiunto a loro, in sostituzione di quella originaria. L’algoritmo di crittografia che si ritiene essere utilizzato da Locky è RSA-2048 con AES cifrari a 128 bit.

Questa ultima versione di Locky ransomware è altamente probabile che eliminare le copie shadow del volume sul sistema operativo Windows con il seguente comando:

→ Vssadmin.exe eliminare ombre / tutti / Quiet

Leggi ulteriormente per vedere come rimuovere questo ransomware e per vedere quali metodi si può provare a decifrare alcuni dei file.