Il ritorno del Ransomware Locky

Agli inizi di Giugno, la botnet (rete di computer zombie: vedi immagine sotto) Necurs è andata offline. La conseguenza è stato uno stop quasi totale delle campagne di diffusione del trojan bancario Dridex (leggi qui per maggiori informazioni) e del ransomware Locky. 

la struttura di una botnet

Con TeslaCrypt fuori dai giochi, il vuoto è stato riempito per qualche tempo dal ransomware CryptXXX, del quale abbiamo seguito alcune delle principali evoluzioni la scomparsa dei “ransomware di punta” ha infatti creato la necessità non solo di programmare nuovi ransomware, ma anche di raffinare e migliorare ransomware già esistenti.
E’ di questo Lunedì il rilevamento di una massiccia campagna (si parla di milioni di mail) di diffusione del ransomware Locky. L’ analisi degli indirizzi IP utilizzati dimostra come la botnet di provenienza sia di nuovo Necurs, una botnet sicuramente tra le più estese al mondo (alcuni ricercatori ipotizzano che controlli più di 4 milioni e mezzo di macchine).

COME SI DIFFONDE IL RANSOMWARE LOCKY

diffusione locky ransomware

Le Email distribuite in questa nuova campagna hanno come oggetto   “Re:”  e come allegato un file con estensione  “.zip” che può avere i seguenti nomi:
1. “services_[nome]_[6 numeri casuali].zip”
2. “[nome]_addition_[6 numeri casuali].zip”
3. “[nome]_invoice_[6 numeri casuali].zip

Tutti e tre contengono codice Javascript offuscato. 

Il doppio clic sul file JavaScript attiverà il download del file eseguibile di Locky, che verrà salvato nella cartella %Temp% e si autoeseguirà.
Questa nuova variante contiene anche un codice anti macchine-virtuali per rendere ancora più difficile, per i ricercatori, analizzarlo da una macchina virtuale (una macchina virtuale altro non è che un software che crea un ambiente virtuale che simula il funzionamento di un normale computer. E’ ormai pratica diffusa tra i ricercatori di sicurezza quella di usare queste macchine virtuali come trappole entro cui attrarre virus di ogni genere per poterli studiare senza incorrere in danni).
Tolto questo, il ransomware non sembra presentare ulteriori modifiche.

Una volta installato, Locky assegna un codice di 16 cifre prima di iniziare la cifratura di tutte le unità di disco locale e le condivisioni di rete, utilizzando l’algoritmo AES per cifrare ogni file con l’estensione “.locky”. Durante il processo di criptazione Locky, inoltre, cancella tutte le Copie Shadow dei file, necessari per creare le copie di backup dei dati, al fine di impedire alle vittime di ripristinare i propri file.

 

COME DIFENDERSI

Il metodo migliore per affrontare il problema è la prevenzione,  quindi è importante organizzare un backup dei dati attraverso l’utilizzo di un hard disk esterno da collegare al computer solo nel momento in cui si necessiti di un backup (lasciandolo sempre collegato al computer nel  caso di infezione anche l’hard disk esterno verrà cryptato) e sopratutto prestare attenzione alle email che si ricevono verificando il mittente  e il contenuto delle email.

La software house QUICK HEAL ha ultimamente implementato i suoi ANTIVIRUS con protezioni elevatissime che garantiscono una efficente sicurezza dai Ransomware finora conosciuti, per ulteriori informazioni clicca qui .

 

INVIA MESSAGGIO