El terrible ransomware está de vuelta con dos nuevas variantes: "Diablo" y "Lukitus".
Los investigadores de seguridad han detectado recientemente dos nuevas cepas de Locky Ransomware, Diablo y Lukitus. Al igual que otros tipos de ransomware de bloqueo de cifrado, también están diseñados para cifrar archivos en una PC y exigir un rescate a cambio de la clave de descifrado. Estas nuevas variantes fueron reportadas por investigadores el 16 de agosto de 2017.
“El ransomware se trata más de manipular vulnerabilidades en la psicología humana que de la sofisticación tecnológica del adversario”.
? James Scott
Locky ha sido una de las principales formas de ransomware que tuvo éxito a nivel mundial. Apareció por primera vez en 2016 y a finales de año desapareció. Pero si crees que ya no supone una amenaza, estás equivocado. Después de apagarse, Locky está de regreso con la botnet Necurs, que es una de las botnets más grandes utilizadas para ataques.
Desde el 9 de agosto en adelante, Locky reapareció usando una nueva extensión de archivo “.diablo6” para cifrar archivos con la nota de rescate: “diablo- .htm”. Diablo vuelve a llamar a un servidor de comando y control diferente. Junto con esto, hay otra nueva variante que agrega la extensión '.Lukitus' a los archivos cifrados.
Curiosamente, Lukitus significa bloquear en finlandés.
La nueva campaña envía correos electrónicos no deseados en forma de archivos adjuntos PDF con archivos .DOCM incrustados. Si el usuario descarga el archivo adjunto y habilita las macros según lo solicitado, perderá el acceso a los archivos en su computadora.
Una vez que todos los datos están cifrados, exige un rescate si los propietarios desean recibir la clave privada. para descifrar los datos. Locky es menos frecuente, pero sigue siendo una amenaza grave debido a su fuerte criptografía.
Esta campaña nos abre los ojos a todos los que asumimos que Locky desapareció simplemente porque no está activo durante un tiempo específico. . Esta no es la primera vez que Locky reaparece, permanece envuelto en un misterio durante algún tiempo y luego aparece con nuevas infecciones.
La reaparición repentina de Locky puede estar relacionada con las herramientas de descifrado para el ransomware Jaff que se crearon. disponible en junio. Jaff apareció en mayo y se propagó por la misma botnet Necrus utilizada para distribuir Locky.
Esto demuestra que el ransomware no nos abandonará pronto, por lo que debemos seguir desarrollando nuevas estrategias y técnicas para combatirlos. .
Variantes de Locky, devolución de llamada a un servidor de comando y control diferente (C2) y uso del ID de afiliado: AffilID3 y AffilID5
Leer: 0
