Attraverso una nuova grande campagna di spam mondiale, il ransomware Locky è tornato.
Locky è stato per molto tempo una dei ransomware piu attivi ma nell’ultimo periodo era più facile vedere altri ransomware come Cerber, Spora e GlobeImposter.
Oggi, il ricercatore di sicurezza Racco42 ha scoperto una nuova campagna di spam che sta propagando una nuova variante Locky che aggiunge l’estensione .diablo6.
#locky is back with “E 2017-08-09 (xxx).doc” campaign https://t.co/7rD0kGjdwc @malwrhunterteam @dvk01uk @h3x2b @Antelox
— Racco42 (@Racco42) 9 agosto 2017
Una volta scaricato ed eseguito, verrà eseguita la scansione del computer e successivamente i files verranno criptati. I files criptati sono riconoscibili dall’estensione .diablo6.
Al termine del processo l’eseguibile si autocancellerà e verranno visualizzate le informazioni su come pagare il riscatto. I nomi di queste note di riscatto sono cambiati per questa versione a diablo6- [casuale] .htm.
Al momento, il riscatto è fissato a 0.49 BTC circa $ 1.600 USD e per il momento non è ancora possibile decriptare i file .diablo6 gratuitamente.
Appena lanciato, il malware lancia il comando ‘vssadmin delete shadows /all‘ che cancella all’istante le shadow copy presenti nel computer, capita che il comando non vada a buon fine perciò la prima cosa da verificare è la presenza di shadow copy utilizzando l’utility Shadow Copy Viewer. Effettuare inoltre una pulizia accurata del sistema seguendo questa guida.