Il ransomware Locky cambia ancora con una nuova variante Lukitus 5/5 (1)

Nella giornata di oggi è stata scoperta una nuova variante di Locky che cripta i files modificando l’estensione in .lukitus
Questa nuova variante viene prevalentemente distribuita tramite una  campagna di spam contenente un file js compresso che scarica ed esegue l’eseguibile da un server remoto.

Una volta scaricato ed eseguito, verrà eseguita la scansione del computer e successivamente i files verranno criptati. I files criptati sono riconoscibili dall’estensione .lukitus .
Al termine del processo l’eseguibile si autocancellerà e verranno visualizzate le informazioni su come pagare il riscatto. I nomi di queste note di riscatto sono cambiati per questa versione a lukitus.htm. e lukitus.bmp

Al momento, il riscatto è fissato a 0.49 BTC circa $ 1.600 USD e per il momento non è ancora possibile decriptare i file .diablo6 gratuitamente.

Appena lanciato, il malware lancia il comando ‘vssadmin delete shadows /all‘ che cancella all’istante le shadow copy presenti nel computer, capita che il comando non vada a buon fine perciò la prima cosa da verificare è la presenza di shadow copy utilizzando l’utility Shadow Copy Viewer. Effettuare inoltre una pulizia accurata del sistema seguendo questa guida.