Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Nuova variante di Locky con estensione .zzzzz e diffusa tramite e-mail
- VENERDÌ 25 NOVEMBRE 2016

È stata scoperta una nuova variante di Locky, che si diffonde tramite e-mail apparentemente ricevute per ordini da parte dei destinatari. Dopo l’installazione dei file zip allegati, Locky trasforma l’estensione in .zzzzz.


Gli sviluppatori di Locky hanno cambiato nuovamente l’estensione dei file criptati, ora in .zzzzz . Va notato,  inoltre,  che ci sono anche report della variante .aesir, distribuita anche attualmente.
Purtroppo, in questo momento non esiste ancora un modo per decifrare il ransomware Locky.


Diffusione attraverso falsi messaggi di posta elettronica
Questa nuova variante di Locky si diffonde tramite e-mail, che si spacciano per un ordine da parte del destinatario. Tali mail contengono un oggetto Order #[random_numbers] e un allegato zip denominato order_[target_name].zip. All’interno del file zip vi è un file JS, che, una volta aperto, scaricherà e eseguirà il ransomware Locky.

  
spam e-mail della variante Locky ZZZZZ

Installazione di Locky dai file DLL rinominati
Quando viene eseguito l’attacco JS, verrà scaricata una DLL cifrata e la decripterà nella cartella %Temp%. Recentemente, gli sviluppatori di Locky sono passati al download di file DLL denominati con estensione non DLL. Ad esempio, il programma di installazione DLL di Locky aveva un’estensione di TDB.
Questo file DLL verrà quindi eseguito utilizzando il programma legittimo di Windows chiamato Rundll32.exe per installare Locky sul computer.


Il Locky DLL è al momento in esecuzione, con un comando simile a quello riportato di seguito. 
È importante notare che il nome DLL e l’esportazione utilizzati per installare Locky non saranno gli stessi in tutti i casi.

"C:\Windows\System32\rundll32.exe" %Temp%\BG54H6~1.TDB,sVagtGfbFHPrGzG

Una volta installato, Locky eseguirà la scansione del computer per determinati tipi di file e li cripterà. Quando cripta un file, verrà rimescolato il nome e aggiunta l’estensione .zzzzz. Ad esempio, un file chiamato test.jpg potrebbe essere rinominato  016CCB88-61B1-ACB8-8FFA-86088F811BFA.zzzzz. Il formato per tale schema è first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].zzzzz.
Le estensioni attualmente mirate sono le stesse della versione precedente:

.001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .7zip, .ARC, .CSV, .DOC, .DOT, .MYD, .MYI, .NEF, .PAQ, .PPT, .RTF, .SQLITE3, .SQLITEDB, .XLS, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db3, .db_journal, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .m3u, .m4a, .m4p, .m4u, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ms11, .ms11 (Security copy), .msg, .myd, .n64, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vb, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip

Nota di riscatto
Quando Lock ha concluso la crittografia del computer, verranno visualizzate note di riscatto che forniscono informazioni su come pagare quanto richiesto. I nomi di queste note sono cambiate nel caso della variante Locky ZZZZZ e sono ora denominate _[number]-INSTRUCTION.html, -INSTRUCTION.html, and -INSTRUCTION.bmp. 


C’è possibilità di decifrare il ransomware Locky ZZZZZ?
Purtroppo non è ancora possibile ciò gratuitamente. L’unico modo per recuperare i file crittografati è tramite un backup, o se si è incredibilmente fortunati, attraverso le copie shadow. 
Anche se Locky non tenta di rimuovere le copie shadow, sono rari i casi in cui ciò non accade.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 29 NOVEMBRE 2019
Attenzione! Il lucchetto verde e l'HTTPS non sono più sufficienti per indicare un sito web sicuro
Negli ultimi tempi i Quick Heal Security Labs hanno registrato un sorprendete aumento degli attacchi di phishing: sono attacchi nei quali gli ignari utenti vengono attira...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login