美國紐約州州長選舉制度風險評估

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全6月25日訊 Check Point公司今年年初發布2016年12月最活躍惡意軟體報告。

報告指出，Locky垃圾郵件的數量在2016年12月下降了81%。而就在10月份，Locky還佔據著全球惡意軟體排行榜的榜首，到12月卻無緣前十。

Locky初次於2016年年初浮出水面，通過RSA-2048和AES-128演算法對100多種文件類型進行加密。Locky通過漏洞工具包或包含JS、WSF、 HTA或LNK文件的電子郵件進行傳播，其能如此肆虐主要得益於Necurs殭屍網路。

早前就有報道指出，Locky可能要回來了，而這次Locky勒索軟體是真的回來了！然而，此次活動似乎計劃不得不夠周全，因為Locky不能加密較新Windows 操作系統的文件，只能在舊版Windows XP和Vista設備上施展身手。

Locky的回歸讓人驚訝，但也說得通。以下有多條線索暗示，Necurs殭屍網路和Locky勒索軟體出自同一幕後黑手。許多人認為，最近出現的Jaff勒索軟體就是Locky的後繼者。

隨著Necurs慢慢轉向Jaff，Necurs黑客組織5月便開始停止擴散Locky，該組織很有可能用新Jaff勒索軟體替代了舊版Locky。

Locky回歸或與Jaff失利有關

卡巴斯基實驗室的安全研究人員上周發現Jaff加密程序的漏洞，並創建了一款免費實用程序幫助受害者無需支付贖金恢復文件，Necurs黑客組織的長期計劃被挫敗。這一點出乎意料，因為研究人員曾無法破解Locky的加密方法，許多研究人員認為Jaff也會如此棘手。

卡巴斯基的「壯舉」似乎給Necurs黑客組織沉重一擊。當免費解密程序可用時，Jaff垃圾郵件陡然減少。而就在6月21日，Necurs黑客組織開始再次散播Locky，他們選擇這樣做，很有可能是因為Locky加密未曾被成功破解，操作人員攫取贖金的機會更大。

Windows DEP 安全功能挫敗了新Locky變種

大量安全研究人員發現了新一輪垃圾郵件攻擊。所有研究人員報告稱，他們在測試設備上感染自己時遇到麻煩。

思科Talos團隊發現了其中的原因。思科的專家表示，Locky的開發人員急於用Locky替代被解密的Jaff，並在部署過程中犯了幾個錯誤。

思科Talos專家表示，他們進一步調查發現，在運行Windows 7或帶有數據執行保護（DEP）保護功能的新版系統會致解包器失敗，這就意味著，只有舊操作系統，例如XP和Vista受到影響。

Locky開發人員急於求成，可能未注意到這個漏洞，因為他們在散布這款惡意軟體中傾注了大量資源，若知道無效，可能也就不會這麼幹了。

Locky垃圾郵件占所有垃圾電子郵件的7.2%

思科表示，新Locky變種的垃圾郵件占整個互聯網垃圾電子郵件流量的7.2%。僅針對不到10%的用戶基礎，就能發起如此大規模的垃圾郵件浪潮，著實瘋狂至極。

此外，與研究人員5月發現的版本相比，新版Locky改動不大。這款Locky變種仍在加密文件末尾使用LOTPR擴展名，並使用了一樣的C&C伺服器URL結構。這就表明，卡巴斯基發布Jaff解密程序之後，Necurs操作人員急於部署Locky。

Locky採用新戰術

但是，新版Locky存在新瑕疵。Flashpoint研究總監維塔利·柯瑞麥茲發現，Locky採用新方法在目標主機上啟動被感染的二進位文件。

此外，這一輪Locky電子垃圾郵件在郵件主題和內容中使用了新文本，但攻擊者仍通過發票、付款收據、訂單信息等誘騙目標。

這些電子郵件還以不同的方式打包文件附件，這次使用的是雙嵌ZIP結構。外媒提供了一個ZIP文件，其名字格式為8個隨機數字（例如38017832.zip）。最初的ZIP文件包含另一個ZIP文件。後一個ZIP文件包含運行Locky的EXE文件。

電子郵件擴散Locky新變種

通過近期Locky垃圾郵件傳送的第二個ZIP文件內容

最後，新版Locky還新增幾個反調試保護功能，以阻止該勒索軟體在虛擬機和其它調試環境中運行，這就是研究人員前幾個小時在分析時如此費勁的原因了。

總之，這起Locky垃圾郵件活動似乎準備得有些倉促，但專家預計，Locky攻擊者可能會更正漏洞，並在接下來傳送修復版的Locky變種。

以下為最新Locky變種的其它攻擊指示器（IOC）：

哈希：

擴展名：

勒索注釋：

勒索信：

白名單文件夾：

擴展名

25

E安全推薦文章

官網：www.easyaq.com

2017年6月

01

02

03

04

05

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！