Locky, salah satu keluarga ransomware paling berbahaya saat ini dibandingkan dengan CERBER dan CryptXXX, ransomware tersebut belum lama ini menjatuhkan dukungan untuk modus offline dan menambahkan ekstensi file terenkripsi. Kembali pada pertengahan Juli, geng kriminal di balik ransomware Locky telah merilis versi ransomware yang bisa bekerja tanpa koneksi internet, disebut "offline mode."
Versi Locky ini telah didistribusikan melalui lima botnet spam, Menurut laporan dari Avira, tiga dari botnet sekarang kembali mendistribusikan varian Locky yang mendapatkan dukungan modus offline, serta dukungan online melalui C&C server seperti diinformasikan Moritz Kroll, spesialis malware di Avira Protection Labs.
Selain itu, peneliti keamanan @dvk01uk mengatakan bahwa varian Locky terbaru sekarang menambahkan ekstensi file .ODIN ke file terenkripsi. Sebelumnya, Locky menggunakan .LOCKY dan .ZEPTO. Korban yang terinfeksi ransomware ini harus menyadari bahwa ransomware ini adalah Locky dan bukan ransomware Odin.
Metode infeksi berubah, versi sebelumnya mengandalkan korban men-download file ZIP berbahaya yang mereka terima melalui email spam. File-file ini berisi file WSF atau JS yang ketika dijalankan akan mendownload dan menginstal file EXE berbahaya, ransomware yang sebenarnya. Peneliti mengatakan di Twitter bahwa selama lebih dari satu bulan, sejak 24 Agustus, WSF dan JS men-download file DLL bukannya installer EXE, yang mereka gunakan untuk menyebarkan ransomware tersebut.
Versi Locky ini telah didistribusikan melalui lima botnet spam, Menurut laporan dari Avira, tiga dari botnet sekarang kembali mendistribusikan varian Locky yang mendapatkan dukungan modus offline, serta dukungan online melalui C&C server seperti diinformasikan Moritz Kroll, spesialis malware di Avira Protection Labs.
Selain itu, peneliti keamanan @dvk01uk mengatakan bahwa varian Locky terbaru sekarang menambahkan ekstensi file .ODIN ke file terenkripsi. Sebelumnya, Locky menggunakan .LOCKY dan .ZEPTO. Korban yang terinfeksi ransomware ini harus menyadari bahwa ransomware ini adalah Locky dan bukan ransomware Odin.
Metode infeksi berubah, versi sebelumnya mengandalkan korban men-download file ZIP berbahaya yang mereka terima melalui email spam. File-file ini berisi file WSF atau JS yang ketika dijalankan akan mendownload dan menginstal file EXE berbahaya, ransomware yang sebenarnya. Peneliti mengatakan di Twitter bahwa selama lebih dari satu bulan, sejak 24 Agustus, WSF dan JS men-download file DLL bukannya installer EXE, yang mereka gunakan untuk menyebarkan ransomware tersebut.
0 comments:
Post a Comment