Locky勒索软件强势回归：24小时内2300多万用户受影响

▌作者：Swati Khandelwal

▌翻译：360代码卫士团队

最近来自两家安全公司的多名研究人员均独立发现了两起大规模垃圾邮件互动传播两种看似不同却都属于Locky勒索软件新变体的恶意软件。

第一起：Lukitus在24小时内发送2300万份邮件

AppRiver公司的研究人员发现垃圾邮件活动在8月28日24小时内向美国发送出包含Locky勒索软件的2300多万份邮件，成为2017下半年规模最大的恶意软件传播活动之一。

研究人员指出，这些发送出的邮件“极其模糊”，主题行是“请打印”、“文档”、“图像”、“照片”、“图片”和“扫描”，以说服受害者受Locky勒索软件感染。邮件还添加有一个包含在另外一个ZIP文件中含有的一个VBS文件的ZIP附件（隐藏恶意软件payload）。

一旦受害者被骗点击文件，VBS文件就会启动一个下载器下载最新版本的Locky勒索软件Lukitus（芬兰语意思是“被锁的”），并加密目标电脑上的所有文件且在加密数据上加.lukitus后缀。

加密进程结束后，恶意软件会在受害者的桌面上显示一条勒索软件信息，指导受害者如何下载并安装Tor浏览器以及访问攻击者站点以获取进一步的指示完成付款。

这个Lukitus变体要求受害者支付的勒索金是0.5比特币（约2300美元），之后受害者可获取“Locky解码器”拿回文件。

目前，这次Lukitus攻击活动仍在持续，研究人员在周一早上已发现“超过560万条”信息。遗憾的是，这个变体至今难以被解密。

第二起：IKARUSdilapidated三天内发送超过6.2万份邮件

8月初，Comodo实验室开展的另外一项研究发现了另外一次大型垃圾邮件活动，它在三天的时间内在第一个攻击阶段就发送了包含Locky新变体IKARUSdilapidated的超过6.2万份垃圾邮件。这个新变体通过133个国家的11,625个不同IP地址进行传播，可能是由“僵尸计算机”组成的僵尸网络实施协作性钓鱼攻击。

首次检测于8月9日且持续三天的初始攻击利用的垃圾邮件信息还包括一个恶意VBS附件，如被点击，则会出现上述第一种活动中提到的同样功能。

网络犯罪分子要求的比特币在0.5比特币至1比特币之间。这次大型Locky勒索软件活动针对全球“数万名”用户，受影响最严重的国家是越南、印度、墨西哥、土耳其和印度尼西亚。

如何防范？

勒索软件已成为针对个人和企业最大的威胁，前几个月集中爆发了全球勒索软件攻击活动，包括“想哭”勒索软件、NotPetya和LeakerLocker。

目前尚不存在针对上述Locky勒索软件变体的解密方法，因此强烈建议用户采取如下防御措施保护自己的安全。

* 警惕钓鱼邮件。警惕由邮件发送的不请自来的文档，永远不要点击这些文档中包含的链接，除非已验证来源。

* 例行备份。为了对所有重要文件和文档拥有控制权，将它们例行备份到一个不总是跟电脑连接的外部存储设备。

* 将杀毒软件和文件更新至最新版本。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。