Ransomware : Locky en baisse

[Malekal_morte]

1 an après la sortie du ransomware Locky, environ vers mi-février, ce dernier est en perte de vitesse.
Les spams email concernant Locky était assez impression, plusieurs dizaines ou centaines de mails par jour : Les campagnes de mails malicieux de Locky.
Ce spam s'appuyait sur le botnet necurs. Initialement, le botnet Necurs était aussi à l'origine des spams pour le Trojan Banker Dridex qui semble être du même groupe que Locky.

Les envois de mails malicieux ont baissé drastiquement durant les vacances de Noel (ils avaient aussi déjà baissé durant l'année dernière).
Mais à son retour, le botnet n'envoyait plus autant de mails qu'avant.
Plusieurs éditeurs comme Cisco Talos ou ID-Ransomware ont remarqué cette baisse.

Les activités des ransomwares par Cisco Talos :

Locky-over-time.jpg

Dans le même temps, l'activité du ransomware Cerber

Cerber-over-time.jpg

Même constat chez ID-Ransomware.
Le ransomware Spora passe même devant Locky.

Multiple-families.jpg

Il semblerait que Necurs soit revenu mais en envoyant des spams plus classiques et non malicieux faisant la promotion de ransomware ou autres trojans.
Necurs envoie encore quelques emails malicieux contenant des droppers pour Nemucod mais rien de comparable à l'année dernière.

On notera aussi qu'il n'y a pas eu de nouvelles variantes Locky, l'extension des fichiers chiffrés changeait tous les mois.
Depuis Janvier rien, la dernière variante étant les .OSIRIS.

Locky Ransomware est donc en stand by.

Liens autour des ransomwares

• Les crypto-Ransomwares
• Les ransomwares / Rançongiciels

[Malekal_morte]

Symantec y va aussi de son analyse et confirme la baisse d'email malicieux Locky qui signe un retour depuis le 20 Mars.

Durant le mois de Décembre 2016, le dernier mois où le botnet Necurs a été actif, Symantec enregistré un ratio de 1/98 blocages d'emails malicieux.
En Janvier 2017, le ratio tombe à 1/100 et 1/635 en Février 2017.

symantec-baisse-ransomware-locky.png

symantec-baisse-ransomware-locky-2.png

source : https://www.symantec.com/connect/blogs/ ... -campaigns

[Malekal_morte]

Les campagnes du Trojan Dridex signe aussi leur retour.

[Malekal_morte]

Le ransomware Locky refait surface avec la même variante Virus .OSIRIS
avec un email piégé et un word malveillant.

ransomware-virus-OSIRIS-2.png

SHA256: 4ebc124c7e19c2a87f911e9972f365f6fd0ef1532981a828b085e0a6bac2e310
Nom du fichier : ff19b6df5d38d754a7cbfb6acbb5157b.exe
Ratio de détection : 14 / 61
Date d'analyse : 2017-04-21 14:39:17 UTC (il y a 31 minutes)

Antivirus Résultat Mise à jour
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9565 20170421
CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20170130
Endgame malicious (moderate confidence) 20170419
ESET-NOD32 a variant of Win32/GenKryptik.ACVP 20170421
Invincea trojandownloader.win32.unruy.i 20170413
Kaspersky UDS:DangerousObject.Multi.Generic 20170421
McAfee GenericR-JPR!FF19B6DF5D38 20170421
McAfee-GW-Edition BehavesLike.Win32.Dropper.fc 20170421
Palo Alto Networks (Known Signatures) generic.ml 20170421
Sophos Mal/Generic-S 20170421
Symantec Trojan.Gen.8!cloud 20170421
Tencent Win32.Trojan.Inject.Auto 20170421
Webroot W32.Trojan.Gen 20170421
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170421

ransomware-virus-OSIRIS.png