快速修复安全实验室一直在观察臭名昭著的Locky勒索体彩3d爆发,该爆发最近于9月的最后一周开始。爆发始于带有不同主题和不同附件名称的垃圾邮件。在26日 9月,开始提供Locky勒索体彩3d新变种的垃圾邮件活动。在该广告系列中观察到的共同点是附件以“ .7z”扩展名结尾。 26后日 九月份,我们开始看到许多此类实例,很快就证明这是一次重大爆发。让我们看一下此广告系列的一些重要方面。
感染链
典型的感染链始于垃圾邮件。以下是此广告系列中使用的此类垃圾邮件之一,
图1:带有恶意“发票”作为附件的垃圾邮件
观察到的主题名称和附件很少,
主题名称:-
- 发票PIS7316453
- 03_Invoice_7137
附件名称:-
- 发票PIS7316453_7z.ANTIVIRUS-34287
- 001_4410.7z
从上面可以看出,每个垃圾邮件中的主题名称和附件都不同。攻击者通常这样做是为了逃避安全产品的检测。
这些电子邮件之间的共同点是带有.7z扩展名的附件,其中包含恶意VBS文件,该文件下载并启动勒索体彩3d有效载荷。
该变种与其他Locky勒索体彩3d变种的功能几乎相同,唯一不同的是该变种用于加密文件。这次使用的扩展程序很有趣。它只是将先前著名的扩展名“ .locky”反转为“ .ykcol”。以下是Locky赎金屏幕的屏幕截图。
图2:Locky Ransom屏幕
同样,具有相同消息的HTML文件也位于每个驱动器的根目录下。
无花果3:勒索赎金HTML消息
当前,没有任何可用于Locky勒索体彩3d加密文件的解密器,而Locky的这一新版本也不例外。
Quick Heal和Seqrite产品通过其多层安全产品提供了针对Locky勒索体彩3d爆发的保护。
妥协指标
- b035ddc1f0738c3f90cb5c0b804e1775
- efdb6033dccf27fe103b8fc13bc4f2d7
主题专家
Shalaka Patil | Swapnil Nigade | Shriram Munde
快速修复安全实验室
有趣的博客…。非常有助于读者了解端点安全…感谢您的分享,继续发布..!
欲获得更多信息 海得拉巴的端点安全