Το Locky, μία από τις πιο επικίνδυνες και διαδεδομένες οικογένειες ransomware σήμερα, μαζί με τα Cerber και CryptXXX, πέρασε από μια ακόμη ενημέρωση, αυτή τη φορά απορρίπτοντας την offline υποστήριξη και προσθέτοντας μια νέα επέκταση για τα κρυπτογραφημένα αρχεία.
Πίσω, στα μέσα Ιουλίου, η εγκληματική ομάδα πίσω από το Locky ransomware είχε κυκλοφορήσει μια έκδοση του ransomware τους, που μπορούσε να λειτουργήσει και χωρίς σύνδεση στο Internet, σε μια λεγόμενη «offline mode».
Αυτή η έκδοση Locky είχε διανεμηθεί μέσω πέντε spam botnets. Σύμφωνα με μια έκθεση από την Avira, τρία από αυτά τα botnets έχουν πλέον ξεκινήσει εκ νέου τη διανομή μιας Locky παραλλαγής που φεύγει από την offline υποστήριξη, συνδέεται σε έναν online C&C εξυπηρετητή, όπως και οι υπόλοιπες Lοcky εκδόσεις.
“Ίσως δεν λειτούργησε τόσο καλά όσο αναμενόταν”, δήλωσε ο Moritz Kroll, ειδικός malware στην Avira Protection Labs. “Ή απλώς παραξενεύτηκαν με τον αριθμό των επιτυχημένων μολύνσεων.”
Επιπλέον, ο ερευνητής ασφαλείας @dvk01uk λέει ότι πρόσφατες Locky παραλλαγές τώρα προσθέτουν την .ODIN επέκταση αρχείου σε κρυπτογραφημένα αρχεία. Προηγουμένως, το Lοcky είχε χρησιμοποιήσει την .LΟCKY (από την οποία πήρε και το όνομά της) και την .ZEPTO. Οι χρήστες μολύνονται με αυτήν την νεότερη Lοcky παραλλαγή πρέπει να γνωρίζουν ότι πρόκειται ακόμη για το Lοcky και όχι το Odin ransomware.
Επιπλέον, έχει αλλάξει και η μέθοδος μόλυνσης. Οι προηγούμενες εκδόσεις βασίζονταν στα θύματα, ώστε να κατεβάσουμε κακόβουλα ZIP αρχεία που λάμβαναν μέσω email spam. Αυτά τα αρχεία που περιείχαν WSF ή JS αρχεία, τα οποία, όταν εκτελούνταν, θα κατέβαζαν και θα εγκαθιστούσαν ένα κακόβουλο EXE αρχείο, το πραγματικό ransomware.
Ο ερευνητής δήλωσε στο Twitter ότι για περισσότερο από ένα μήνα, από τις 24 Αυγούστου, αυτά τα WSF και JS αρχεία κατέβαζαν ένα DLL αρχείο αντί για το EXE installer πρόγραμμα, το οποίο χρησιμοποιούσαν για να αναπτύξουν το ransomware.
Μικρές αλλαγές όπως αυτές μπορεί να φαίνονται ανόητες και άχρηστες, αλλά μπορούν να βοηθήσουν απατεώνες να αποφύγουν σαρωτές ασφαλείας και λύσεις antivirus!
