Locky : campagne massive pour le ransomware

Le par  |  0 commentaire(s)
phishing

Apparu début 2016, le ransomware Locky a une nouvelle variante et toujours une distribution massive par le biais d'emails de phishing.

Locky est encore de retour. Fournisseur de solutions de messagerie électronique et sécurité, AppRiver rapporte avoir détecté fin août l'envoi en l'espace de 24 heures de 23 millions de messages véhiculant ce ransomware.

En pièce jointe, une archive ZIP contient un script VBS (Visual Basic Script) lui-même contenu dans un second fichier ZIP. Ce script lance un programme de téléchargement qui contacte un domaine pour obtenir la dernière version de Locky.

Le ransomware chiffre les fichiers d'un système pris pour cible et y ajoute l'extension .lukitus. Une notification avec un lien vers un portail en .onion demande une rançon de 0,5 bitcoin en échange de Locky Decryptor pour déchiffrer les fichiers.

locky-decryptor
Lukitus serait une variante de Locky qui a aussi été repérée dans une campagne avec de soi-disant notifications de Dropbox.

Également pour Locky ou Lukitus, Malwarebytes Labs a par ailleurs découvert des documents Word piégés et l'exploitation d'une fonctionnalité pour contourner des analyses automatisées via des protections sandbox.

Le ransomware Locky a cette fâcheuse tendance à revenir de temps à temps avec des campagnes de diffusion de grande envergure. Il y a sans doute un botnet tenace à la manœuvre.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]