Locky Ransomware è uno dei casi dei virus crittografici che ancora non è stato risolto e continua ad evolversi. Per il momento non c’è un descrittore Locky, fornito alle vittime al fine di liberare e sbloccare i loro file. Nuova campagna spam che diffonde Locky, è percepita dai ricercatori di TrendMicro. Questa campagna però si differenzia dalle precedenti, perché utilizza diversa tattica – l’uso di Windows Scripting file nell’inserimento del ransomware nel computer della vittima. L’uso di WSF non è un fenomeno senza precedenti, perché già è stato fatto da un altro famoso ransomware – Cerber. La campagna di Cerber, basata su WSF, è stata rilevata nel maggio di questo anno ed ha avuto grande successo.
Forse questo è il motivo che ha portato gli sviluppatori di Locky all’idea di inserire questa tattica nelle loro nuove campagne.
Collegamenti: New Locky Spam Attacks! Beware of Necurs Malware
Il successo dei file WSF è dovuto al fatto che questi file di solito non sono percepiti dalle misure di protezione per le attività dannose.
Sguardo verso la ultima campagna Locky, basata sui file WSF
Come nelle precedenti campagne, il ransomware utilizza email spam con i file allegati con estensione .ZIP. Proprio questi file contengono i file WSF.
Di solito le email spam hanno i titoli del tipo:
- “protocollo di conto bancario”
- “rapporto annuale”
- “database della società”
I ricercatori ritengono che gli sviluppatori del ransomware si rivolgono alle aziende, per i titoli di e-mail. La maggior parte delle email spam sono inviate nell’intervallo di tempo fra le 9 e le 11 di mattino UTC (tempo coordinato universale). In questo tempo, in molti paesi europei gli impiegati iniziano il lavoro. Inoltre, il volume dei messaggi spam è molto più grande durante i giorni lavorativi, che durante i week end. Questa è una chiara indicazione che l’ultima campagna Locky ha scelto di attaccare le aziende.
La prima ondata della campagna spam è stata rilevata il 15 luglio; ogni e-mail proveniva da diverso indirizzo IP. I paesi che hanno inviato la prima serie spam, sono Serbia, Colombia e Vietnam. Poi, un’altra ondata di spam serie è stata rilevata il 18 e il 19 luglio con e-mail provenienti da Tailandia e Brasile.
Perché i creatori del ransomware usano file WSF?
In primo luogo, gli sviluppatori di Cerber, e adesso quelli di Locky utilizzano i file WSF. Come già abbiamo accennato, i file di Windows Scripting permettono al ransomware di aggirare le misure di sicurezza come sandbox (di solito sandbox fornisce un insieme fortemente controllato di risorse, in cui i programmi “ospiti” sono avviati) e la lista nera. I file WSF servono per scaricare il ransomware. Inoltre, i file WSF permettono agli operatori malintenzionati di scaricare qualsiasi carico sul software malevolo, ad esempio utilizzando VBScript e JavaScript.
Quando i file scaricati hanno diversi hash, la loro individuazione, con l’utilizzo di lista nera, diventa difficile. Gli esempi che abbiamo analizzato, hanno delle proprietà di file “Yahoo Widget” , al fine del loro inserimento in modo legittimo.
Chiave del registro del sistema, scelta per determinare la lingua del sistema prima di implementare Locky
Oltre a utilizzare i file WSF, per questa campagna è stato osservato che aggiunge chiave al registro del sistema per determinare la lingua del sistema. Questa non è la prima volta in cui il ransomware utilizza chiave per il registro del sistema – lo stesso comportamento è stato osservato prima per Jigsaw, CryptoLock e Reveton ransomware.
Protocollo SSH usato per C&C comunicazione (di comando e di controllo)
L’ultimo Locky utilizza anche protocollo SSH per aprire VPN, al fine di crittografare il traffico di rete. I ricercatori riferiscono che uno dei server c&c è del Deep Web, attraverso un apposito sito Tor– zjfq4lnfbs7pncr5[.]onion[.]to.
Questa minaccia anche aggiunge l’estensione dei file .zepto. Inoltre, il ransomware utilizza APIs congeniti per modificare la estensione del file.
Tutte le prove completano il fatto che i creatori di questa campagna sono dal Brasile. I ricercatori hanno avuto la possibilità di rilevare che l’ultimo Locky è venduto in mercato “underground” in Brasile, il quale è uno dei mercati più sviluppati e ben organizzati.
I ricercatori affermano che hanno trovato un utente di Facebook che condivide una blog pubblicazione specifica:
Abbiamo scoperto uno (con aliasunknown_antisec) che usa Facebook, che condivide questa blog pubblicazione (originariamente in micro blog moderno in Brasile), commentando i nostri risultati circa l’”underground” brasiliano. Questo concreto utente aveva incluso un titolo in brasiliano portoghese che potrebbe essere tradotto “Come va, amico, ti hanno preso ransomware.”
Questa non è la prima volta che i criminali informatici brasiliani utilizzano i social media per pubblicizzare i propri prodotti e servizi.
L’ultima campagna Locky WSF: eliminazione, prevenzione e conclusione
Locky decisamente si evolve – inizialmente la minaccia usava macros, dopo si è trasferita su JavaScript e VBScript, e adesso si è concentrata su WSF. “con questo tipo di file, esso può, per impostazione predefinita, di unire tutti i linguaggi di scripting, come JScript, che è stato utilizzato in precedenza da RAA con obiettivi di confusione “, affermano i ricercatori.
Questa versione è in grado di bypassare le analisi tradizionali e sandbox e dovrebbe essere interrotta allo stadio di rilevazione. I TrendMicro affermano che sono riusciti a proteggere i loro clienti anche al livello di entrata, rilevando le e-mail spam connesse a Locky.
Nel caso, in cui vi siete infettati con Locky…
La cosa pià importante che ogni vittima dovrebbe fare, è eliminare il ransomware dal sistema. Il modo più semplice è quello di utilizzare un programma software anti-malware.
Poi, le vittime potrebbero tentare di recuperare alcuni dei loro file crittografati utilizzando il software per recupero dei dati come.
In futuro, continuate a fare copie di riserva ai propri dati per non diventare vittima di virus di crittografia.
Spy Hunter è uno strumento di scansione che potrà solo rilevare la minaccia. Se si desidera la rimozione automatica della minaccia, è necessario acquistare una versione completa dello strumento anti-malware. Informatevi di più sullo strumento anti-malware SpyHunter / Come disinstallare SpyHunter
