ขณะที่คนทั่วไปนึกว่าแรนซั่มแวร์ Locky กำลังเงียบตายไป นักวิจัยจากสองบริษัทด้านความปลอดภัยกลับพบแคมเปญการจัดส่งอีเมล์ครั้งใหญ่ถึงสองครั้ง ที่มีการแพร่กระจายแรนซัมแวร์ดังกล่าวด้วย แม้คนละสายพันธุ์กันก็ตาม
เริ่มจากแคมเปญแรกที่พบโดยนักวิจัยจาก AppRiver ซึ่งมีการส่งเมล์ออกมาถึง 23 ล้านฉบับภายใน 24 ชั่วโมงเมื่อวันที่ 28 สิงหาคมที่ผ่านมา ทั่วทั้งสหรัฐฯ ซึ่งถือเป็นแคมเปญการแพร่เชื้อมัลแวร์ที่ใหญ่มากที่สุดในช่วงครึ่งหลังของปีนี้ทีเดียว โดยอีเมล์จะมีชื่อเมล์ที่หลอกให้ผู้ใช้ต้องคลิกแบบงงๆ เช่น “กรุณาสั่งพิมพ์”, “เอกสาร”, “รูป”, “ภาพ”, “สแกน” เป็นต้น
อีเมล์จะมาพร้อมกับไฟล์ ZIP ที่มีสคริปต์ VBS ที่เมื่อเหยื่อคลิกเปิดแล้ว ก็จะดาวน์โหลดแรนซั่มแวร์ Locky ตัวล่าสุดที่ชื่อ Lukitus (เป็นภาษาฟินแลนด์แปลว่า ล็อก) แล้วเข้ารหัสไฟล์ทุกตัวบนเครื่อง พร้อมใส่สกุลไฟล์ไว้ว่า [.]lukitus หลังจากนั้นจึงแสดงข้อความบอกให้เหยื่อดาวน์โหลดและติดตั้งบราวเซอร์ชื่อ Tor เพื่อเข้าเว็บไซต์ของผู้โจมตีสำหรับจ่ายเงินต่อไป
ส่วนอีกแคมเปญที่พบโดยบริษัท Comodo Labs เป็นการส่งอีเมล์ในช่วงต้นเดือนสิงหาคมกว่า 62,000 ฉบับ ที่มีแรนซั่มแวร์ Locky สายพันธุ์ใหม่ฝังไปด้วย ชื่อว่า IKARUSdilapidated โดยใช้ที่อยู่ไอพีที่ต่างกันถึง 11,625 ตัวในกว่า 133 ประเทศ ลักษณะคล้ายโดนโจมตีผ่านเครื่องซอมบี้หรือบอทเน็ตให้ช่วยกระจายเมล์
ที่มา : http://thehackernews.com/2017/08/locky-ransomware-emails.html
