چند ماه است که این باجافزار از پیوستهای جاوا اسکریپت برای انجام اهدافش استفاده میکند، اما نهتنها خود پروندهی باینریِ Locky بلکه این پروندههای مخرب نیز کاربران را به دام سامانههای آلوده میاندازند. طرز کار این باجافزار زمانی تغییر کرد که هفته گذشته موج جدیدی از رایانامههای مخرب مستقیماً حاوی باجافزار Locky بودند.
طبق گزارش محققان CYREN، هرزنامهها در این عملیات از عنوان Invoice (صورتحساب) استفاده کردهاند که برای توزیع بدافزارها بسیار مناسب است. علاوه بر این، محققان متوجه شدند در این عملیات نیز از فرمتهایی برای نامگذاری پروندههای پیوست شده استفاده شده که در حملات Locky پیشین نیز مورد استفاده بودهاند.
آنچه در رابطه با پروندهها تغییر کرده است، اندازه پرونده ZIP. است که در مقایسه با پیوستهای مخرب حاوی باجافزار Locky قبلی، به بیش از KB ۲۵۰ رسیده است. اگرچه همانند قبل، آرشیو ZIP. حاوی پرونده جاوا اسکریپتی است که از همان مبهمسازی کد قبلی استفاده میکند.
محققان CYREN گفتند: «بارگذاری جاوا اسکریپت درون یک ویرایشگر نیز نشاندهنده استفاده از گونههای متعدد حاوی رشتههایی است که زمان ساخت رشتههای مورد نیاز مثل نامها و روشهای ActiveXObject به هم میپیوندند. حتی رمزنگاری دودویی معمول نیز در دسته این نوع باجافزار قرار میگیرد».
برخلاف گونههای قبلی، در این عملیات مجموعه بزرگی از گزینههای مرتب بههم پیوسته مشاهده شده است. این گونههای بههم پیوسته جایی قرار دارند که پروندهی دودوییِ باجافزار Locky رمزنگاریشده ذخیره شده است. پیش از این که این باجافزار اجرا شود، این پرونده رمزنگاری و روی دیسک ذخیره میشود.
دیگر نویسندگان بدافزارها مدت زمان بسیاری است که برنامههای مخربشان را درون اسکریپتها جایگذاری میکنند، بنابراین خیلی عجیب نیست که Locky نیز از این روش استفاده کرده باشد. اگرچه پیش از این مشاهده شده که این باجافزار ترجیح میدهد از ماکروهای مخرب در اسناد آفیس استفاده کند که از طریق هرزنامههای تقویت شده با باتنت Necrus توزیع میشوند. این باجافزار همچنین مدتی پیش شروع به استفاده از جاوا اسکریپت تنها برای فریب کاربران کرد و باز هم از کیت بهرهبردار Nuclear برای توزیع خود استفاده میکند.
رمزگشایی این پرونده در مصرف CPU توسط wscript.exe قابل تشخیص است. پس از رمزگشایی، پرونده قابل اجرا در مسیر Temp با یک نام کدگذاری شده تصادفی در جاوا اسکریپت ذخیره میشود. این باجافزار سپس با یک شناسه 321 اجرا میشود.
اینگونه باجافزاری Locky پروندههای رمزنگاریشده را با پسوند zepto. نامگذاری میکند. اینگونه پیش از این یک نسخه باجافزاری جداگانه در نظر گرفته میشد. طبق گفته محققان CYREN، نویسندگان این باجافزار تنها تغییراتی در کد باجافزار ایجاد کردهاند تا بتوانند از پسوند پرونده جدید استفاده کنند.
بهمحض اینکه فرآیند رمزنگاری انجام شد، Locky عکس پسزمینه دسکتاپ را با متن درخواست باج عوض میکند و صفحه دستورالعمل پرداخت باج که قبلاً روی دسکتاپ کاربر قرار میگرفت را باز میکند. لینکهای Tor داده شده، قربانی را مستقیماً به صفحه رمزگشای Locky هدایت میکند.
محققان در پایان افزودند: «مانند همیشه، به کاربران توصیه میکنیم که اگر میخواهند از چنین حملاتی در امان باشند، از باز کردن هرگونه پروندهی پیوست شده از منابع نامعتبر خودداری کنند. شرکتها با این کار نیز میتوانند از سازمانشان دفاع کرده و بازده اقتصادی مجرمان سایبری را کاهش دهند».