Schlagwort-Archive: Locky

„Locky Poser“ ist nicht das, was die Malware vorgibt zu sein

Originalbeitrag von Ian Kenefick, Threats Analyst

Ransomware hatte zwar ihren Höhepunkt 2017 erreicht, dennoch gab es in der ersten Hälfte 2018 eine leichte Zunahme bei diesbezüglichen Aktivitäten – mit Anpassungen, um die Sicherheitslösungen zu umgehen, oder Täuschungen wie im Fall von PyLocky (RANSOM_PYLOCKY.A),die bewährte Ransomware nachahmt. Ende Juli und während des gesamten August gab es Wellen von Spam-Mails, welche die PyLocky Ransomware ablegten.

Auch wenn die Malware versucht, in der Lösegeldnachricht als Locky zu erscheinen, handelt es sich nicht um diesen Erpresser. PyLocks ist in Python geschrieben, mit PyInstaller gepackt und enthält bemerkenswerterweise Funktionalität gegen Machine Learning. Infolge des kombinierten Einsatzes des Inno Setup Installer (quelloffen und skript-basiert) und PyInstaller stellt die Malware statische Analysemethoden, einschliesslich ML-basierter Lösungen, vor Herausforderungen. Ähnlich agierten bereits Varianten von Cerber.

Die Verteilung von PyLocky scheint sich auf Europa, vor allem Frankreich, zu konzentrieren. Zwar begann die Spam-Kampagne klein, nahm jedoch später im Ausmass zu.

Bild 1: Distribution von PyLocky-bezogenem Spam vom 2. August (links) und 24. August (rechts)

Bild 2: PyLocky Lösegeld-Nachricht, die vorgibt, Locky Ransomware zu sein.

Technische Details zu der Bedrohung liefert der Originalbeitrag.

Weshalb funktioniert Ransomware?

Ransomeware04-200x200
Originalartikel (in Englisch) von Jon Oliver & Joseph C. Chen

Abgesehen davon, dass man die Taktiken und Techniken hinter Ransomware verstehen sollte ist es ebenso wichtig, zu verstehen wie solche Schadsoftware überhaupt in die Umgebung hinein kommt. Unsere kürzlich durchgeführte Analyse zeigt, dass die Mehrheit der Ransomware – Schädlinge schon früh, im Web und im e-Mail, gestoppt werden kann. In der Tat hat Trend Micro von Januar bis Mai 2016 schon über 66 Millionen mit Ransomware in Zusammenhang stehende Spammails, URL’s und Bedrohungen blockiert.

Weiterlesen (in Englisch, auf dem TrendLabs Blog )