Μια
νέα παραλλαγή του Zeta
εμφανίστηκε
αυτήν την εβδομάδα η οποία κρυπτογραφεί
τα αρχεία και χρησιμοποιεί την επέκταση
.rmd
Αυτός
χρησιμοποιεί το GnuPG
για
να κρυπτογραφήσει τα δεδομένα του
θύματός του
O
Alpha Locker πωλείται
προς $65 στα underground
hacking forum...
Και
αυτός βασίζεται στον Hidden
Tear και
ονομάζεται Phoenix.
Στοχεύει
μόνο στην επιφάνεια εργασίας του χρήστη
(προς το παρόν) και βάζει την επέκταση
.R.i.P
μετά
την κρυπτογράφηση των αρχείων. Το Ransom
note που
αφήνει πίσω του ονομάζεται Important!.txt
Λέγαμε
την προηγούμενη εβδομάδα ότι οι
κατασκευαστές του Locky
χρησιμοποιούσαν
επεκτάσεις που αναφέρονταν στην
Σκανδιναβική μυθολογία. Αυτή τη φορά
το γύρισαν στην Αιγυπτιακή χρησιμοποιώντας
την επέκταση .osiris
στα
κρυπτογραφημένα αρχεία.
Η
μεθοδολογία τους για τη διασπορά αυτή
τη φορά είναι μέσω επισυναπτόμενων
Excel
αρχείων
που περιέχουν macro
εντολές
και συνήθως παριστάνουν ότι είναι κάποιο
τιμολόγιο ή απόδειξη αγοράς.
και
ενεργοποιηθούν τα Macro,
εκτελείται
το rundll32.exe
το
οποίο εγκαθιστά το Locky.
