勒索软件Locky重返垃圾邮件战场,推出Diablo6新变种

通过一大波恶意软件垃圾邮件活动,Locky回来了且在全球范围内大量感染。Locky一度被认为是最大的分布式勒索软件,并且不断扩展,现在变得比Cerber,Spora和GlobeImposter等勒索软件更常见,的其他勒索如cerber,施波拉,甚至globeimposter。虽然现在还不太清楚这是不是又一次短暂的高潮,或是想再次成为一名大玩家,但我们所知道的是,这场特殊的活动影响强大,分布很广。

Locky diablo6变种通过垃圾邮件分布

今天,安全研究人员 Racco42发现了一种新的Locky垃圾邮件活动,推出了一种新的Locky变种,以.diablo6为扩展名。这波攻击活动是通过垃圾邮件进行传播的,垃圾邮件的主题类似于E [日期](random_numer).docx,例如:E2017-08-09 (698).docx。消息内容只声明了“参见附件,谢谢”(“Files attached. Thanks”)。如下图所示:

这些邮件包含有一个压缩文件的附件,压缩文件的名称与邮件主题一致,其中包含一个VBS下载脚本。这个脚本将包含一个或多个URLs,脚本利用这些URLs下载Locky勒索软件的执行程序到%temp%文件夹,然后执行它。

一旦恶意程序被下载并执行,它将扫描计算机上的文件并对它们进行加密。这一Locky新变种加密一个文件后,将修改文件名,在后边添加 .diablo6。在对文件重命名时,它使用的格式如下所示:

[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].zepto. 

例如,一个文件名为1.png的文件将被加密并命名为类似E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.diablo6这个样子。

当Locky对受感染的计算机完成了加密操作,它将删除下载的可执行程序并显示一封勒索信,提示用户如何支付赎金。这个版本中赎金页面的名为变为了diablo6-[random] .htm,如下图所示:

写作这篇文章时,Locky的赎金金额为49BTC,约合1600美元。

很不幸,截止到目前为止,针对Lockydiablo6加密的文件,并没有免费的解密方案。想要恢复加密文件,除了支付赎金(不推荐)外,唯一方法是通过备份,或者如果您非常幸运的话,通过卷影副本(Shadow Volume Copies)。虽然Locky会尝试删除卷影副本,但在偶然的情况下,勒索感染会失败。所以,如果您没有可用的备份,建议尽可能地尝试一下从卷影副本中恢复加密文件。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104749.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code