Il ransomware Locky ritorna con una massiccia campagna spam della nuova variante Diablo6

Attraverso una nuova grande campagna di spam mondiale, il ransomware Locky è tornato.
Locky è stato per molto tempo una dei ransomware piu attivi ma nell’ultimo periodo era più facile vedere altri ransomware come Cerber, Spora e GlobeImposter.

Oggi, il ricercatore di sicurezza Racco42 ha scoperto una nuova campagna di spam che sta propagando una nuova variante Locky che aggiunge l’estensione .diablo6.

 

Una volta scaricato ed eseguito, verrà eseguita la scansione del computer e successivamente i files verranno criptati. I files criptati sono riconoscibili dall’estensione .diablo6.
Al termine del processo l’eseguibile si autocancellerà e verranno visualizzate le informazioni su come pagare il riscatto. I nomi di queste note di riscatto sono cambiati per questa versione a diablo6- [casuale] .htm.

Al momento, il riscatto è fissato a 0.49 BTC circa $ 1.600 USD e per il momento non è ancora possibile decriptare i file .diablo6 gratuitamente.

Appena lanciato, il malware lancia il comando ‘vssadmin delete shadows /all‘ che cancella all’istante le shadow copy presenti nel computer, capita che il comando non vada a buon fine perciò la prima cosa da verificare è la presenza di shadow copy utilizzando l’utility Shadow Copy Viewer. Effettuare inoltre una pulizia accurata del sistema seguendo questa guida.