Mã độc đòi tiền chuộc Locky mới phát tán giả làm file DLL

Tin tặc phát triển Locky đã cập nhật phiên bản mới của mã độc này và được cài đặt giả bằng những file DLL thay vì file nhị phân EXE truyền thống .

 

Locky là loại mã độc đòi tiền chuộc hoặc động tích cực nhất trong thời gian gần đây và nó được tạo bởi cùng nhóm tin tặc đã tạo ra trojan ngân hàng Dridex và cũng sở hữu những Botnet hoạt động tích cực nhất trên Internet .

Theo Cyren , những phiên bản Locky mới đây đã giả làm những file DLL trên những máy tính bị lây nhiễm và phần lây nhiễm còn lại tương tư như những phiên bản trước kia .

Tin tặc phát tán mã độc này qua thư rác có file ZIP đính kèm , khi giải nén file này nó sẽ tạo ra một file JavaScript và khi chạy nó sẽ tải file DLL . File này có chứa mã độc bắt đầu hoạt động mã hóa .

Phiên bản Locky này sẽ gắn phần mở rộng .zepto tới những file đã bị mã hóa .

Locky có nhiều biến thể khác nhau . Ví dụ Locky phát tán bằng tài liệu Office với những file WSF thay vì những file ZIP và JavaScript . Phiên bản khác đã dùng những trang web với lỗ hổng PHP để gửi thư rác thay vì sử dụng những Botnet truyền thống .

Cuối tháng Bảy , Locky đã nhúng toàn bộ nhị phân mã độc đòi tiền chuộc vào file JavaScript và sau đó cấu trúc lại thành file EXE khi thực thi file JavaScript thay vì tải nó từ một máy chủ trên mạng .

Có một phiên bản khác hỗ trợ làm việc không cần kết nối Internet với phương pháp mã hóa yếu hơn .

Do được liên tục cập nhật khiến cho các chuyên gia an ninh rất khó để tạo ra công cụ giải mã Locky .