فايروس الفدية Locky يعود من جديد

فايروس LOCKY يعود:

اخر العهد بفايروس الفدية  (LOCKY)كان أوآخر 2016  ولا نعلم حقيقتاً سبب توقفه وهو الان يعود لنا مره اخرى بقوة من خلال رسائل الاحتيالية  التي تحتوي على مرفقات ضارة

الموجة الحالية من خلال ملفات (Word ,PDF) :

نتفق جميعاً ان اكثر الهجمات الحالية تأتي من خلال البريد الالكتروني بشكل كبير وهذا ماتم استخدامه مع فايروس الفدية (LOCKY) والتي تظهر انها ايصالات لدفع بعض الخدمات وتمت عنونتها بالاسماء التالية :

Receipt 435

Payment Receipt 2724

Payment-2677

Payment Receipt_739

and Payment#229

الايميل التصيدي

وتتضمن هذه الرسالة الالكترونية مرفقات PDF  تحت اسم (P72732.pdf.) تتطلب منك فتح ملف (Word)

ملف خبيث بصيغة PDF

إذا قام المستخدم بفتح الملف، سيتم فتح مستند ورد وسيتم مطالبته بتمكين الملفات الملحقة لكي يتم العرض بشكل صحيح (لتمكين وحدات المايكرو ) .

ملف خبيث يظهر فيه تفعيل المايكرو

عند تمكين المايكرو يقوم بتحميل اداة Locky  مشفرة بالباينري من خلال الرابط (hxxp://uwdesign.com.br/9yg65) بعد ذلك يقوم بفك التشفير وحفظه في ملفات المؤقته ( %Temp%\redchip2.exe) ويبدا بعملية التشفير، وحتى الان الفايروس غير مكاشف من اكثر برامج الحماية فقد تم كشفه من خلال 7 برامج من اصل  55 حسب تصنيف فايروس توتال.

وكعادة فايروس LOCKY يقوم بحذف الملفات المخفية كذلك ملفات النسخ التي تسمى Shadow ويقوم بتغير الامتداد الى OSIRIS وهنا بعض من العمليات التي يقوم بها

<code>

IgnoreNew false false true true false PT10M PT1H true false true true false false false PT72H 7 C:\Windows\system32\vssadmin.exe Delete Shadows /Quiet /All IgnoreNew false false true true false PT10M PT1H true false true true false false false PT72H 7 C:\Windows\system32\vssadmin.exe Delete Shadows /Quiet /All

<code/>

وخلال القيام بعملية التشفير يقوم بارسال اخر التحديثات لمركز التحكم والسيطرة الخاص بالمخترق وهي :

188.120.239.230/checkupdate
80.85.158.212/checkupdate

وعند الانتهاء من عملية التشفير يقوم بإظهار رسالة للضحية توضح عملية الدفع وفك الملفات

رسالة الدفع الخاصة بفايروس الفدية LOCKY

وللاسف حتى هذه اللحظة لا يوجد اي طريقة لفك فايروس الفديةLOCKY

تحديث بتاريخ ٢٤/٤/٢٠١٧:

 URI: 87tgyu
redchip2: 34210be48d0d271914bf9be7b79ce064

CallbackPath: /checkupdate
C2Servers: 185.127.25.176

تحديث يوم ٢٥/٤/٢٠١٧:

C2: 185.127.25[.]176/checkupdate:

المصادر : بليدنق ،مالويربايت

One Comment

اترك رد