هشدار!
باج افزار لاکی مجدداً در قالب یک کمپین هرزنامه بزرگ بازگشته است و به سرعت در حال گسترش است. البته اکنون خیلی زود است که گفته شود این کمپین یک کمپین حمله بسیار بزرگ است، اما مشخص است که این کمپین بسیار قدرتمندانه در حال گسترش است. نسخه دیابلو باجافزار لاکی از طریق هرزنامههایی که شامل پیوست با قالب عنوان E 2017-08-09 (698).docx هستند، در حال آلوده کردن سامانهها است. هنگامیکه فایل پیوست شده به این هرزنامهها دانلود و اجرا شود، بدافزار به پویش فایلها روی کامپیوتر پرداخته، سپس فایلهای شناسایی شده با قالبهای مختلف را رمزنگاری خواهد کرد. قابل ذکر است، فایلهایی که توسط این باجافزار رمزنگاری میشوند دارای پسوند diablo6 خواهند بود.
گستردگی جغرافیایی:
تا به الان گستره جغرافیایی این بدافزار مشخص نشده است.
راهکارهای پیشگیری و مقابله:
تا به الان، رمزگشایی برای نسخه دیابلو باجافزار لاکی ارایه نشده است و تنها راه بازگشت فایلهای رمزنگاری شده استفاده از نسخه پشتیبان اطلاعات است. همچنین به منظور اینکه سامانهها به این باجافزار آلوده نشوند، نباید ایمیلهایی که از منابع ناشناس ارسال شدهاند مورد مشاهده قرار بگیرند و علاوه بر این پیوستهایی که دارای قالب نامی مانند E 2017-08-09 (698).docx هستند، نباید دانلود و روی سیستم اجرا گردند.
منابع:
🌏: Bleeping Computer
🇮🇷: کاشف
پژوهشگران امنیتی هشدار می دهند که هم اینک، درپشتی اِسموک لودِر روشهای ضدتحلیل پیچیدهای دارد و سبب شده است تا سازوکار تحلیل بدافزار قویتری داشته باشد. اِسموک لودِر که با عنوان: “Dofoil” نیز شناخته می شود، در اواسط ۲۰۱۱ میلادی در انجمن های شبکۀ تاریک منتشر شد. با بسته بندی ماژولار، بدافزار می تواند دستور کار های اجرایی ثانویه را دریافت کند و/یا ماژول های کاربردی بیشتری را بارگیری کُند. به تازگی، لودِر در توزیع بدافزارهایی، چون: تروجان بانکی “Trickbot” و باج افزار “GlobeImposter” استفاده شده است. پژوهشگران امنیتی توضیح می دهند که نصب کننده اِسموک لودِر، یک “EnumTools” برای شناسایی و فرار از ابزارهای تحلیل تولید کرده است و از یک واسط برنامه نویسی برای شمارش خدمات در حال اجرای تحلیل استفاده می کند. این بدافزار دوازده فرآیند تحلیل را از طریق روشی برپایۀ درهم سازی بررسی کرده، اگر یکی در حال اجرا باشد، خود را متوقف می کند.
