Locky Ransomware - UPDATE

UPDATE - 2017.09.01: A Locky Ransomware új variánsa terjed az interneten.

Legújabb észrevételek szerint az e-mail-ek formája és tárgya újabbakkal bővült:

Megjelentek a Dropbox témájú e-mail variációk: Hamisított feladóval valósnak tűnő e-mailek kezdtek el terjedni, melyek fertőzött csatolmányt nem, de kártákony oldalra mutató hivatkozásokat tartalmaznak. Feladóként használják például a no-reply@dropbox.com.

A fertőző email nagy valószínűséggel felismerhető a tárgy mező szövegéből ami hasonlít ezekre: "Emailing: Payment_201708-6165", ”please print”, “documents”, “scans”, “images”, "New voice message xxxx from xxxx", illetve hogy csatolva van hozzá egy - jellemzően PDF, RAR, vagy ZIP/7zip - fájl. Észleltek már hamis, HoeflerText betűtípus telepítésére ösztönző üzenetet és látszólag a DropBox-tól érkezett e-mailt is, amelyben az account ellenőrzésére próbálják meg rávenni a felhasználót. A fájlok kampánytól függően változhatnak, az egyes kiterjesztések ismert előfordulását lentebb részletezzük.
A titkosítás során a vírus a fájlok kiterjesztését .lukitus-ra változtatja, lecseréli a háttérképet és elhelyezi az Asztalon a Lukitus.htm fájlt.

Forrás:http://tech.cert-hungary.hu/vulnerabilities/CH-13033