فايروس الفدية LOCKY يعود من جديد
فايروس LOCKY يعود:
اخر العهد بفايروس الفدية (LOCKY)كان أوآخر 2016 ولا نعلم حقيقتاً سبب توقفه وهو الان يعود لنا مره اخرى بقوة من خلال رسائل الاحتيالية التي تحتوي على مرفقات ضارة
الموجة الحالية من خلال ملفات (Word ,PDF) :
نتفق جميعاً ان اكثر الهجمات الحالية تأتي من خلال البريد الالكتروني بشكل كبير وهذا ماتم استخدامه مع فايروس الفدية (LOCKY) والتي تظهر انها ايصالات لدفع بعض الخدمات وتمت عنونتها بالاسماء التالية :
Receipt 435
Payment Receipt 2724
Payment-2677
Payment Receipt_739
and Payment#229
وتتضمن هذه الرسالة الالكترونية مرفقات PDF تحت اسم (P72732.pdf.) تتطلب منك فتح ملف (Word)
إذا قام المستخدم بفتح الملف، سيتم فتح مستند ورد وسيتم مطالبته بتمكين الملفات الملحقة لكي يتم العرض بشكل صحيح (لتمكين وحدات المايكرو ) .
عند تمكين المايكرو يقوم بتحميل اداة Locky مشفرة بالباينري من خلال الرابط (hxxp://uwdesign.com.br/9yg65) بعد ذلك يقوم بفك التشفير وحفظه في ملفات المؤقته ( %Temp%\redchip2.exe) ويبدا بعملية التشفير، وحتى الان الفايروس غير مكاشف من اكثر برامج الحماية فقد تم كشفه من خلال 7 برامج من اصل 55 حسب تصنيف فايروس توتال.
وكعادة فايروس LOCKY يقوم بحذف الملفات المخفية كذلك ملفات النسخ التي تسمى Shadow ويقوم بتغير الامتداد الى OSIRIS
وخلال القيام بعملية التشفير يقوم بارسال اخر التحديثات لمركز التحكم والسيطرة الخاص بالمخترق وهي :
188.120.239.230/checkupdate
80.85.158.212/checkupdate
80.85.158.212/checkupdate
وعند الانتهاء من عملية التشفير يقوم بإظهار رسالة للضحية توضح عملية الدفع وفك الملفات
وللاسف حتى هذه اللحظة لا يوجد اي طريقة لفك فايروس الفديةLOCKY
تحديث بتاريخ ٢٤/٤/٢٠١٧:
URI: 87tgyu
redchip2: 34210be48d0d271914bf9be7b79ce064
redchip2: 34210be48d0d271914bf9be7b79ce064
CallbackPath: /checkupdate
C2Servers: 185.127.25.176
C2Servers: 185.127.25.176
تحديث يوم ٢٥/٤/٢٠١٧:
C2: 185.127.25[.]176/checkupdate:
أتمنى أن هدا الشرح أفادكم لاتنسو أن تتركو بصمتكم في المدونة عبر ترك تعليق