Locky Ransomware

locky

Yeni bir e-posta kampanyasıyla başlayan saldırı 23 milyondan fazla kullanıcıya Locky fidye yazılımını gönderdi.

Locky fidye yazılımı zaman zaman ortadan kaybolsa da çoğu zaman büyük bir saldırı ile geri dönüyor. Bu da o büyük saldırılardan biri olarak değerlendirilebilir.

Yakın bir zamanda iki farklı güvenlik firmasından araştırmacılar birbirinden bağımsız iki farklı e-posta kampanyası tespit ettiler. Bu e-posta kampanyaları Locky fidye yazılımının iki farklı ancak yeni versiyonunu yayıyor.

Lukitus Kampanyası

Bahsettiğimiz iki farklı e-posta kampanyasından biri olan Lukitus, 24 saat içerisinde 23 milyon e-posta göndererek büyük çaplı bir saldırı gerçekleştirdi.

AppRiver araştırmacıları tarafından tespit edilen kampanya 28 Ağustos’ta ABD’nin dört bir yanında bulunan kullanıcılara 23 milyondan fazla e-posta göndererek Locky fidye yazılımını dağıttı. Bu kampanya bu yılın ikinci yarısında gerçekleştirilen en büyük zararlı yazılım kampanyalarından biri olarak biliniyor.

Araştırmacılara göre bahsi geçen saldırıda kullanılan e-posta konuları kurbanları kandırmak için dikkatlice seçilmiş: “Lütfen yazdırın”, “belgeler”, “fotoğraflar”, “resimler” ve “taramalar” gibi konuların yazıldığı e-postalarla Locky fidye yazılımı dağıtılıyor.

Gönderilen e-posta bir ZIP ekiyle birlikte geliyor. Bu ZIP ekinde, içerisinde ikincil bir ZIP dosyası barındıran bir Visual Basic Script (VBS) dosyası bulunuyor.

Eğer kullanıcılar bu eki indirir ve açarsa VBS dosyası Locky fidye yazılımının en son sürümünü indiriyor ve hedef bilgisayardaki bütün dosyaları şifreliyor.

Şifreleme işlemi tamamlandıktan sonra kurbanın masaüstünde bir mesaj görüntüleniyor. Bu mesajda kurbanın Tor tarayıcı yüklemesi ve saldırganın web sitesini ziyaret etmesi söyleniyor.

image

Fidye yazılımı şifrelediği dosyaları açmak için 0.5 Bitcoin ile 1 Bitcoin arasında bir miktar talep ediyor.

Maalesef fidye ödemeden şifrelenen dosyaları açmanın henüz başka bir yolu bulunmadı.

İkinci Locky Kampanyası

Locky fidye yazılımını dağıtan ikinci e-posta kampanyası şimdiden 62.000’den fazla e-posta yolladı.

image

Bir güvenlik firması olan Comodo Labs Locky fidye yazılımını dağıtan ikinci kampanyayı tespit etti. Bu saldırıda da 24 saat içerisinde 62.000’den fazla e-posta kurbanlara ulaştırıldı.

Bu saldırıda da e-posta yine benzer bir içeriğe sahip ZIP dosyası barındırıyor ve benzer şekilde şifreleme gerçekleştiriliyor.

Kaynak: thehackernews.com