Osiris: nový nástupce ransomwaru Locky

redakce 11.12.2016

Podobně jako antivirové nástroje i samotný malware prochází evolucí – experti objevili novou variantu vyděračského malwaru Locky.

Locky patří mezi nejvíce rozšířený ransomware, který se šíří jako příloha v e-mailu prostřednictvím souboru ve Wordu (obvykle předstírající že obsahuje fakturu nebo jiný důležitý dokument). Pokud máte povolena makra, po otevření dokumenty se Locky spustí a zašifruje vám disk. Pokud máte makra zakázaná, zobrazí se text ve Wordu jako poškozený a upozorní vás na nutnost povolení maker. Problém je, že na dešifrování tohoto malwaru v současnosti neexistuje žádný nástroj. A jeho autoři navíc rozhodně nespí.
Před několika dny byla objevená jeho nová varianta, která byla nazvána Osiris. Osiris se také šíří pomocí emailových zpráv, tentokrát je ale příloha ve formátu xlsx (pro Excel). Dokument obsahuje makro, které po spuštění aktivuje systémový proces Rundll32.exe s načtenou infikovanou dll knihovnou obsahující Osiris. Při nákaze dochází k zašifrování dokumentů, fotografií a dalších obvyklých typů uživatelských dat. Ani zde pochopiltelně zatím neexistuje dešifrovací algoritmus zaručující obnovu dat zatím není znám.
Další podrobnosti najdete na http://www.securityweek.com/locky-variant-osiris-distributed-excel-documents.