Locky Ransomware ist ein der Crypto-Viren, das noch nicht gelöst ist und sich immer noch entwickelt. Zur Zeit gibt es keinen aktiven Locky Decryptor, der den Opfern für die freie Entschlüsselung ihrer Dateien zur Verfügung steht. Neue Spam-Kampagnen, die Locky verbreiten, sind von den Forschern von TrendMicro erkannt worden. Diese Kampagne unterscheidet sich von den vorigen, da sie eine andere Taktik übernommen hat – die Verwendung einer Windows-Scripting-Datei beim Einsatz der Ransomware im Computer des Opfers. Die Verwendung von WSF ist keine neue Erscheinung, da das schon von einer anderen Ransomware – Cerber, getan ist. Die Kampagne von Cerber, die auf WSF beruht, wurde dieses Jahr im Mai erkannt und hat sich als sehr erfolgreich ergeben.
Vielleicht ist das der Grund, der die Entwickler von Locky zu der Idee für den Einsatz dieser Taktik in ihren neuen Kampagnen geführt hat.
Der Erfolg der WSF-Dateien liegt daran, dass diese Dateien normalerweise nicht von den letzten Schutzlösungen gegen böswillige Aktivitäten.
Blick auf die letzte Locky-Kampagne, die auf WSF-Dateien basiert
Wie bei den letzten Kampagnen verwendet die Ransomware Spam-E-Mails mit Anhängen mit.ZIP Erweiterung. Nämlich diese Dateien enthalten die WSF-Dateien.
Die Spam-E-Mails haben normalerweise folgende Betreffe:
- “Protokoll über Bankkonto”
- “Jahresbericht”
- “Datenbank eines Unternehmens”
Forscher meinen, dass die Entwickler der Ransomware wegen der Betreffe der E-Mails auf Unternehmen zielen. Ein großerTeil der Spam-E-Mails werden zwischen 9 und 11 Uhr am Morgen UTC (koordinierte Weltzeit). Zu dieser Zeit fangen in die Angestellten in vielen europäischen Ländern mit der Arbeit an. Außerdem ist die Anzahl der Spam-Nachrichten an Arbeitstagen viel größer als die am Wochenende. Das ist ein klares Anzeichen, dass die letzte Locky-Kampagne auf Angriffe von Unternehmen zielt.
Die erste Welle der Spam-Kampagne wurde am 15.Juli bemerkt, wobei jede E-Mail von unterschiedlichen IP-Adressen stammte. Die Staaten, die die erste Spam-Serie gesendet haben, sind Serbien, Kolumbien und Vietnam. Danach wurde eine weitere Spam-Serie am 18. Und 19. Juli bemerkt, die E-Mails aus Staaten wie Thailand und Brasilien enthielt.
Warum verwenden die Entwickler von Ransomware WSF-Dateien?
Zuerst die Entwickler von Cerber, und jetzt diese von Locky eignen sich WSF-Dateien an. Die Windows-Scripting-Dateien erlauben die Ransomware, wie erwähnt, die Sicherheitsmaßnahmen wie Sandbox (Sandbox stellt normalerweise einen stark kontrollierten Satz von Ressourcen dar, in denen die Gast-Programme gestartet werden) und Schwarzliste umzugehen. Die WSF-Dateien spielen die Rolle der die Ransomware herunterladenden. Außerdem erlauben die WSF-Dateien böswillige Operatoren , allerlei Last von Schadsoftware herunterzuladen, indem sie z.B. VBScript und JavaScript verwenden.
Wenn die Downloads unterschiedliche Prüfsummen haben, wird ihre Erkennung durch die Verwendung einer Schwarzliste schwierig. Die Beispiele, die wir analysiert haben, haben die Eigenschaften einer “Yahoo Widget”-Datei, zum Zwecke ihrer erfolgreichen Anerkennung als legitim.
Schlüssel der Windows-Registrierungsdatenbank, eingestellt, um die Sprache des Systems festzulegen, vor dem Einsatz von Locky
Außerhalb der Verwendung von WSF-Dateien beobachtet man bei dieser Kampagne, dass man einen Schlüssel der Registrierungsdatenbank hinzufügt, um die Sprache des Systems festzulegen. Das ist nicht das erste Mal, wenn die Ransomware Schlüssel für die Registrierungsdatenbank verwendet – dasselbe Verhalten beobachtet man auch bei Jigsaw, CryptoLock und Reveton ransomware.
SSH-Protokoll, das für C&C (Command-and-Control) Kommunikation verwendet wird
Die letzte Locky-Ransomware benutzt ebenfalls das SSH-Protokoll, um VPN zu öffnen, zwecks Verschlüsselung des Netzverkehrs. Forscher berichten, dass einer der C&C-Server von Deep Web ist, über eine spezielle Tor-Seite – zjfq4lnfbs7pncr5[.]onion[.]to.
Diese Bedrohung fügt ebenfalls die Dateinamenerweiterung .zepto hinzu. Außerdem verwendet die Ransomware APIs, um die Dateinamenerweiterung zu ändern.
Alle Beweise sprechen für die Tatsache, dass die Entwickler dieser Kampagne aus Brasilien sind. Die Forscher konnten vernehmen, dass die letzte Locky-Ransomware auf dem brasilianischen Underground-Markt, der einer der am besten entwickelten und organisierten Märkte ist, verkauft wird.
Die Forscher behaupten ebenfalls, dass sie einen Facebook-Benutzer gefunden haben, der einen spezifischen Beitrag veröffentlicht:
Wir haben jemanden gefunden, (с aliasunknown_antisec) der Facebook benutzt und der diesen Beitrag veröffentlicht (zuerst in einem modernen Mikroblog in Brasilien veröffentlicht), der unsere Erkenntnisse bezüglich den brasilianischen „Untergrund“ kommentiert. Dieser konkrete Benutzer hat eine Überschrift in brasilianischem Portugiesisch, die als „Was geht, Freund, man hat dir Ransomware genommen.”
Das ist nicht das erste Mal, wenn brasilianische Cyber-Kriminelle die sozialen Netzwerke ausnutzen, um für ihre Produkte und Dienstleistungen zu werben.
Die letzte Locky-WSF-Kampagne: Entfernen, Prävention und Schluss
Locky entwickelt sich bestimmt – die ursprüngliche Bedrohung verwendete Macros, danach JavaScript und VBScript, und jetzt richtet sich auf WSF aus. “Mit so einer Datei kann die Ransomware standardmäßig allerlei Scriptsprachen wie JScript, die früher von RAA zur Verwirrung benutzt wurde, kombinieren“, betonen die Forscher.
Da diese Variante die traditionellen Analysen und die Sandbox-Analysen umgehen kann, soll sie von der Erkennungsschicht gestoppt werden. TrendMicro behaupten, dass sie ihre Kunden bei der Schicht des Eindringens schützen konnten, indem sie mit Locky verbundene Spam-E-Mails erkannten.
Im Falle, dass Sie von Locky angegriffen worden sind…
Das Wichtigste, was jedes Opfer tun soll, ist das Entfernen der Ransomware von dem System. Die einfachste Methode ist mit Hilfe eines Anti-Schadsoftware-Programm.
Danach können die Opfer versuchen, einige ihrer verschlüsselten Dateien anhand einer Software zur Datenwiederherstellung wiederherzustellen, wie z.B.:
In Zukunft erstellen Sie weiter Sicherungskopien Ihrer Daten, damit sie kein Opfer von Crypto-Viren werden.
Spy Hunter ist ein Scanningtool, das die Bedrohung nur erkennen wird. Im Falle, dass Sie die Bedrohung automatisch entfernen lassen möchten, ist es notwendig, dass Sie die volle Version des Anti-Schadsoftware-Tools kaufen. Erfahren Sie mehr über das Anti-Schadsoftware-Tool SpyHunter / SpyHunter deinstallieren
