Ykcol ha iniziato a diffondersi il 19 settembre 2017 e in poco tempo ha raggiunto oltre 3 milioni di caselle di posta elettronica. Il ransomware, infatti, come la maggior parte di questi virus si diffonde attraverso allegati e link maligni. Per avere una diffusione così capillare in breve tempo il nuovo Locky ha sfruttato la botnetconosciuta come Necurs. Tra fine settembre e ottobre sono state registrate anche due versioni di Locky finora sconosciute come Locky Lukitus e Diablo. Il primo virus fino ad oggi ha raggiunto tra i 15 e i 20 milioni di utenti in Rete. L’obiettivo di questi aggiornamenti costanti è quello di non far scovare il virus ai ricercatori per la sicurezza e impedire qualsiasi azione preventiva.

Il ransomware di Game of Thrones

I cyber criminali che hanno modificato Locky in Ykcol devono essere grandi appassionati della serie TV il Trono di Spade. Alcuni script di Visual Basic del malware, infatti comprendono nomi come Aria, HoldTheDoor, Sansa Stark, JohnSnow e Robert Baration. Ykcol usa degli allegati particolari per spingere l’utente nella trappola, ovvero delle fatture vuote, o meglio contenenti solo il virus. Locky Lukitus e Diablo usano dei documenti di Microsoft Office per infettare i PC delle vittime.

Prezzo del riscatto

I ransomware sono talmente diffusi che i cyber criminali stanno iniziando a ribassare il prezzo richiesto per il riscatto. Rispetto a Locky che per riavere i propri file richiedeva 25 Bitcoin, ora il riscatto è sceso a 5 Bitcoin. Il profitto comunque non è un problema per questi virus. Se consideriamo che in soli due anni hanno generato quasi 30 milioni di dollari. E Locky è una delle famiglie ransomware più redditizie in assoluto. Secondo Trustwave è possibile che al momento sia presente in Rete un’ulteriore versione di Locky non ancora scoperta.