新型Locky勒索软件可能伪装成DLL文件

新型Locky勒索软件可能伪装成DLL文件，Locky转换EXE可执行文件为DLL文件！

在Locky勒索软件背后的犯罪集团已经更新了他们的恶意软件，而这种威胁的新版本正在安装伪装成DLL文件，而不是经典的EXE可执行文件。
该Locky勒索软件活跃的今天已经演变比其他任何勒索软件更多。这背后的原因是因为恶意软件创建和Dridex银行木马同小组，也拥有互联网上最活跃的僵尸网络之一。

因此这个小组资源从不稀缺，同时拥有的金钱、时间和知识，以改进其新技术勒索软件在一定间隔，为了避免安全软件并保持安全研究人员在他们的后面。

Locky试验DLL文件而不是EXE文件

这种最新的变化是一个更新Locky如何达到它的受害者和加密过程的启动方式。

据网络安全厂商Cyren，最近Locky版本放在被感染的计算机是DLL文件，而不是EXE文件。其它的感染链仍然是我们所知。

Locky到达受害者通过具有附加到电子邮件正文中ZIP文件的垃圾邮件。解压此ZIP一个JavaScript文件，该文件在执行时下载DLL文件（而不是经典的EXE）。

该文件被注入过程执行恶意代码，这将启动文件加密操作。另一项新功能是该DLL文件使用定制的包装，以防止反恶意软件扫描程序可以轻松地检测到它。

这个版本锁定文件并追加.zepto扩展到最后，这意味着这个版本的Zepto勒索软件为Locky的另一个名字，但仍是Locky勒索软件的。

Locky经历许多变化

在过去Locky遭受了许多其他突变。有些一直持续，有些不是。

例如，使用Office文档和WSF文件，而不是ZIP和JS文件Locky垃圾邮件已经上涨。其他版本的使用，容易受到PHP形式的网站发送垃圾邮件，而不是由Dridex团伙使用的经典僵尸网络。

七月底Locky尝试用在JS文件中嵌入整个勒索软件二进制文件，然后执行JS文件时重建EXE文件，而不是从在线服务器下载。

另一个版本还增加了支持没有网络连接的工作，哪怕它拥有一个较弱的加密方法。

就这么不断更新一直保持领先Locky安全研究人员一步，这就是为什么从创建直到现在没能对Locky解密成功。

文章来自绿盟(xDowns.com)转载请注明来路。

上一篇文章：Ursnif银行木马的新种类隐藏在Tor的C＆C服务器 []

文章正文