新闻快讯
< >

【预警】Locky勒索软件新变种威胁Windows XP和Vista!

E安全6月25日讯 Check Point公司今年年初发布2016年12月最活跃恶意软件报告。

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

报告指出,Locky垃圾邮件的数量在2016年12月下降了81%。而就在10月份,Locky还占据着全球恶意软件排行榜的榜首,到12月却无缘前十。

Locky初次于2016年年初浮出水面,通过RSA-2048和AES-128算法对100多种文件类型进行加密。Locky通过漏洞工具包或包含JS、WSF、 HTA或LNK文件的电子邮件进行传播,其能如此肆虐主要得益于Necurs僵尸网络。

早前就有报道指出,Locky可能要回来了,而这次Locky勒索软件是真的回来了!然而,此次活动似乎计划不得不够周全,因为Locky不能加密较新Windows 操作系统的文件,只能在旧版Windows XP和Vista设备上施展身手。

Locky的回归让人惊讶,但也说得通。以下有多条线索暗示,Necurs僵尸网络和Locky勒索软件出自同一幕后黑手。许多人认为,最近出现的Jaff勒索软件就是Locky的后继者。

随着Necurs慢慢转向Jaff,Necurs黑客组织5月便开始停止扩散Locky,该组织很有可能用新Jaff勒索软件替代了旧版Locky。

Locky回归或与Jaff失利有关

卡巴斯基实验室的安全研究人员上周发现Jaff加密程序的漏洞,并创建了一款免费实用程序帮助受害者无需支付赎金恢复文件,Necurs黑客组织的长期计划被挫败。

这一点出乎意料,因为研究人员曾无法破解Locky的加密方法,许多研究人员认为Jaff也会如此棘手。

卡巴斯基的“壮举”似乎给Necurs黑客组织沉重一击。当免费解密程序可用时,Jaff垃圾邮件陡然减少。而就在6月21日,Necurs黑客组织开始再次散播Locky,他们选择这样做,很有可能是因为Locky加密未曾被成功破解,操作人员攫取赎金的机会更大。

Windows DEP 安全功能挫败了新Locky变种

大量安全研究人员发现了新一轮垃圾邮件攻击。所有研究人员报告称,他们在测试设备上感染自己时遇到麻烦。

思科Talos团队发现了其中的原因。思科的专家表示,Locky的开发人员急于用Locky替代被解密的Jaff,并在部署过程中犯了几个错误。

思科Talos专家表示,他们进一步调查发现,在运行Windows 7或带有数据执行保护(DEP)保护功能的新版系统会致解包器失败,这就意味着,只有旧操作系统,例如XP和Vista受到影响。

Locky开发人员急于求成,可能未注意到这个漏洞,因为他们在散布这款恶意软件中倾注了大量资源,若知道无效,可能也就不会这么干了。

Locky垃圾邮件占所有垃圾电子邮件的7.2%

思科表示,新Locky变种的垃圾邮件占整个互联网垃圾电子邮件流量的7.2%。仅针对不到10%的用户基础,就能发起如此大规模的垃圾邮件浪潮,着实疯狂至极。

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

此外,与研究人员5月发现的版本相比,新版Locky改动不大。这款Locky变种仍在加密文件末尾使用LOTPR扩展名,并使用了一样的C&C服务器URL结构。这就表明,卡巴斯基发布Jaff解密程序之后,Necurs操作人员急于部署Locky。

 Locky采用新战术

但是,新版Locky存在新瑕疵。Flashpoint研究总监维塔利·柯瑞麦兹发现,Locky采用新方法在目标主机上启动被感染的二进制文件。

 

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

此外,这一轮Locky电子垃圾邮件在邮件主题和内容中使用了新文本,但攻击者仍通过发票、付款收据、订单信息等诱骗目标。

这些电子邮件还以不同的方式打包文件附件,这次使用的是双嵌ZIP结构。外媒提供了一个ZIP文件,其名字格式为8个随机数字(例如38017832.zip)。最初的ZIP文件包含另一个ZIP文件。后一个ZIP文件包含运行Locky的EXE文件。

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

 电子邮件扩散Locky新变种

 

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

通过近期Locky垃圾邮件传送的第二个ZIP文件内容

最后,新版Locky还新增几个反调试保护功能,以阻止该勒索软件在虚拟机和其它调试环境中运行,这就是研究人员前几个小时在分析时如此费劲的原因了。

总之,这起Locky垃圾邮件活动似乎准备得有些仓促,但专家预计,Locky攻击者可能会更正漏洞,并在接下来传送修复版的Locky变种。

以下为最新Locky变种的其它攻击指示器(IOC):

哈希:


【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

扩展名:

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

勒索注释:

 

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

勒索信:

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

白名单文件夹:

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

扩展名

 

【预警】Locky勒索软件新变种威胁Windows XP和Vista!-E安全

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。