FERRAMENTAS LINUX: Uma nova campanha de Lucky Ramsonware foi detectada sendo espalhada através de e-mails de spam .

segunda-feira, 24 de abril de 2017

Uma nova campanha de Lucky Ramsonware foi detectada sendo espalhada através de e-mails de spam .



O Locky ransomware está de volta com uma nova campanha de spam



O Locky ransomware está de volta e é pior do que antes. Depois de um início bastante silencioso de 2017, Locky está atingindo as vítimas novamente por meio de uma campanha de spam contendo docs maliciosos.

De acordo com a Minha Segurança Online , a nova onda de mensagens de spam vem com e-mails fingindo ser recibos de pagamento com vários assuntos, incluindo "Recibo 435", "Recibo de pagamento 2724", "Pagamento-2677" e assim por diante, onde os números mudam .

Os anexos são arquivos PDF com nomes não identificados como P72732.pdf, que não dão nada sobre o que está dentro e, portanto, adicionar ao fator curiosidade. Quando você abre o PDF, você será solicitado a abrir um documento do Word incorporado. Apenas para ser claro, este é um comportamento altamente suspeito e não algo que alguém faz.

Se você abrir esse arquivo, o documento do Word será aberto eo prompt de documento de palavra maliciosa típica aparecerá. Mais especificamente, ele informa que o documento está protegido e você precisa habilitar uma macro para ver o conteúdo.

A Microsoft criou macros que exigem ação específica dos usuários por causa de esquemas como esse, onde o recurso foi explorado por hackers que procuram espalhar malware em computadores. Ativar a macro irá, obviamente, desencadear Locky.

O binário Locky é baixado, descriptografado e salvo em% Temp% \ redchip2.exe. O arquivo é então executado e os arquivos em seu computador são rapidamente criptografados.

Os arquivos criptografados pelo Locky ransomware têm uma extensão .OSIRIS, portanto, eles são fáceis de detectar.

Nenhuma alternativa

Quando o trabalho é feito, a nota de resgate é exibida para informar a vítima que eles foram infectados. "Todos os seus arquivos são criptografados com cifras RSA-2048 e AES-128. [...] A descodificação de seus arquivos só é possível com o programa de chave privada e descriptografia, que está no nosso servidor secreto", lê a mensagem.

A vítima é então instruída a baixar e instalar o Tor e ir a um determinado endereço, exigindo um pagamento Bitcoin em troca da chave de descriptografia.

A má notícia é que atualmente não há ferramenta de descriptografia gratuita para Locky ransomware, então você terá que dizer adeus aos seus arquivos ou pagar, embora este último nunca seja aconselhável. Especialistas em segurança aconselham as vítimas a manter os arquivos no caso de que eles vão chegar com uma chave de descriptografia que funciona.


Fonte

Até a próxima!!!

Nenhum comentário:

Postar um comentário