E’ in diffusione una nuova variante del ransomware Locky: questa versione non utilizza più l’estensione “.zepto”, ma utilizza l’estensione “.odin”, oltre a modificare il nome del file.
Malgrado questa estensione possa far pensare di essere stati infettati dal ransomware Odin, in realtà è la “vecchia conoscenza” Locky che utilizza questa nuova estensione: il funzionamento e il codice di questo ransomware sono, praticamente, gli stessi del ransomware Locky, rendendo chiarissima la filiazione.
Questa versione, come quelle precedenti, viene diffuso attraverso allegati in WS o JavaScript attraverso campagne email di spam. Se si fa doppio clic sul file allegato, si avvia il download dell’installer DLL del ransomware, ma in forma criptata. Questo viene poi decriptato e quindi eseguito attraverso il programma Windows originale “Rundll32.exe”.
Il comando che viene eseguito per avviare il DLL è: rundll32.exe %Temp%\[nome_del_dll],qwerty.
Una volta eseguito, Locky cripta, rinomina e aggiunge l’estensione “.odin” ai file della vittima.
Ad esempio, test.jpg può essere rinominato come 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin.
In questa versione, sono cambiati anche i nomi delle note di riscatto:
“ _HOWDO_text.html”, “ _HOWDO_text.bmp”, e” _ [2_digit_number] _HOWDO_text.html”.
Queste sono le estensioni che vengono criptate:
Nessun commento:
Posta un commento