Veerkrachtige Ransomware: Locky Valt Aan Via WSF-bestanden

ransomware-sensorstechforumDe ransomware Locky is een cryptovirus dat blijft evolueren. Voor dit virus is nog geen oplossing gevonden. Momenteel is er geen actieve Locky decryptor waarmee de slachtsoffers van Locky hun versleutelde bestanden kunnen ontsleutelen. De onderzoekers van TrendMicro hebben nieuwe spamcampagnes die Locky verspreiden, vastgesteld. Echter is deze campagne anders omdat ze een andere tactiek toepast, namelijk: het gebruiken van een Windows Scripting bestand om de ransomware op de computer van het slachtoffer te installeren. Het inzetten van WSF gebeurt niet voor de eerste keer, dit werd al eerder door Cerber toegepast. De WSF-campagne van Cerber werd in mei gespot en het bleek meer dan succesvol te zijn.

Dit is misschien de reden die de ontwikkelaars van Locky op het idee bracht om deze tactiek in hun nieuwe campagnes toe te passen.

Aanverwante artikelen: Nieuwe Locky spam-aanvallen. Pas op voor Necurs Malware

De succes van de WSF-bestanden is te danken aan het feit dat ze gewoonlijk niet op malware gescreend worden door de endpoint security oplossingen.

Een Kijkje Naar de Nieuwste WSF-campagne Van Locky

Zoals bij zijn vorige campagnes gebruikt de ransomware spam e-mail berichten met bijgevoegde .zip bestanden. Het zijn namelijk deze bestanden waar de WSF-bestanden zijn verborgen.

De spam e-mail berichten hebben gewoonlijk onderwerpen als:

  • bankrekeningafschrift
  • jaarverslag
  • bedrijfsdatabase

De onderzoekers zijn van mening dat de ontwikkelaars van de ransomware zich vooral op bedrijven richten, vandaar de gekozen onderwerpen. Een groot deel van de spam e-mail berichten worden tussen 9 en 11 uur UTC tijd verzonden. De werkdag in de meeste Europese landen begint namelijk rond die tijd. Het aantal verzonden spam berichten tijdens de werkdagen is veel hoger in vergelijking met de berichten die tijdens de weekenddagen worden verzonden. Dit is een duidelijke indicatie dat de doelgroep van de laatste Locky-campagne namelijk de zakelijke wereld is.

De eerste golf van deze spamcampagne werd op 15 juli vastgesteld. De e-mail berichten kwamen van verschillende IP-adressen. De eerste spam berichten werden vanuit Servië, Colombia en Vietnam verzonden. Daarna volgde nog een reeks op 18 en 19 juli. Deze keer kwamen de spam berichten vanuit Thailand en Brazilië.

Waarom Gebruiken Ransomware ontwikkelaars WSF-bestanden?

Eerst de ontwikkelaars van Cerber en nou deze van Locky gebruiken WSF-bestanden. We hebben al gezegd dat de ransomware ontwikkelaars de Windows Scripting bestanden gebruiken om de veiligheidsmaatregelen zoals de sandbox analyse en de blacklisting te omzeilen. De WSF-bestanden downloaden eigenlijk de ransomware. Meer zelfs, de WSF-bestanden stellen de ransomware ontwikkelaars in staat om om het even welke malware te downloaden door bijvoorbeeld VBScript en JavaScript te gebruiken.

Als de gedownloade bestanden met verschillende hashes zijn wordt het opsporen van met behulp van een blacklisting methode zeer moeilijk. In de geanalyseerde voorbeelden wordt een “Yahoo Widget” bestand gebruikt om de e-mail legitiem te doen lijken.

Het Gebruik Van Een Registersleutel Om de Systeemtaal te Wijzigen Voor de Installatie van Locky

Wat in deze campagne opvalt is dat naast het gebruik van WSF-bestanden ook een registersleutel gecreëerd wordt om de systeemtaal te wijzigen. Dit is niet de eerste keer wanneer een ransomware registersleutels gebruikt. Dezelfde strategie werd al eerder toegepast door Jigsaw, CryptoLock en Reveton ransomware.

SSH Protocol Used for the Command and Control Communication

De nieuwste versie van Locky gebruikt ook het SSH protocol om een VPN-verbinding te maken en zo het netwerkverkeer versleutelen. De onderzoekers melden dat het gaat om één van de C&C servers van DeepWeb via een speciale Tor website – zjfq4lnfbs7pncr5[.]onion[.]to.

Deze bedreiging koppelt de .zepto extensie aan de versleutelde bestanden. Daarnaast gebruikt de ransomware native API’s om de bestandextensie te wijzigen.

Alle bewijzen wijzen erop dat de ontwikkelaars van deze campagne uit Brazilië zijn. Onderzoekers hebben de mogelijkheid gehad om te spotten hoe de nieuwste versie van Locky op een Braziliaanse ondergrondse markt werd verkocht. Dit is trouwens een van de best ontwikkelde en georganiseerde markten.

Onderzoekers beweren ook dat ze hebben gezien hoe een Facebook gebruiker de volgende blog post verspreidde:

Wij hebben iemand gevonden (met de naam aliasunknown_antisec) die Facebook gebruikt om deze blogpost te delen (oorspronkelijk gepost in een Trend Micro blog in Brazilië. In deze post worden onze bevindingen over de Braziliaanse “ondergrond” besproken. Deze gebruiker heeft ook een bijschrift in het Braziliaans-Portugees gezet die het volgende luidt: “Wat gebeurt er, vriend, heb je een ransomware?”

De Nieuwste Locky-campagne: Verwijderen, Preventie en Conslusie

Locky blijft evolueren – in het begin gebruikte hij Macro’s, daarna schakelde hij over naar JavaScript en VBSript en nou richt hij zich op WSF. De onderzoekers wijzen erop dat hij met dit bestandtype alle scripttalen zoals JavaScript (die eerder door RAA voor verduisteringsdoeleinden gebruikt werd) kan combineren.
Aangezien deze versie in staat is om de traditionele sandbox analyse te omzeilen, moet Locky op zijn blootstellingslaag worden tegengehouden. TrendMicro beweert dat ze erin geslaagd zijn om hun klanten te beschermen door de spam e-mails van Locky tijdelijk op te vangen.

Als je computer met Locky besmet raakt…

Het belangrijkste dat je moet doen is de ransomware verwijderen. De gemakkelijkste manier om dit te doen is door een anti-malware software te gebruiken.

Pas daarna kan je je versleutelde bestanden proberen te herstellen met behulp van een recovery software zoal:

  • Stellar Phoenix Windows Data Recovery Software
  • Maak regelmatig reservekopieën van je gegevens zodat ze niet door een cryptovirus worden getroffen.

    Download

    Malware Removal Tool

    SpyHunter zal enkel de dreiging identificeren. Als je de dreiging automatisch wilt verwijderen, moet je de volledige versie van een anti-malware kopen. Lees meer over de anti-malware SpyHunter / Hoe moet ik SpyHunter verwijderen.

    Avatar

    Berta Bilbao

    Berta is the Editor-in-Chief of SensorsTechForum. She is a dedicated malware researcher, dreaming for a more secure cyber space.

    More Posts - Website

    Latest Stories

    */ ?>

    Leave a Comment

    Your email address will not be published. Required fields are marked *

    Time limit is exhausted. Please reload CAPTCHA.

    Share on Facebook Share
    Loading...
    Share on Twitter Tweet
    Loading...
    Share on Google Plus Share
    Loading...
    Share on Linkedin Share
    Loading...
    Share on Digg Share
    Share on Reddit Share
    Loading...
    Share on Stumbleupon Share
    Loading...
    Please wait...

    Subscribe to our newsletter

    Want to be notified when our article is published? Enter your email address and name below to be the first to know.