За последние год-два в Интернете развелось столько разных программ-вымогателей, что за ними трудно уследить. Один из новейших криптоблокеров примечателен тем, что, в отличие от своих собратьев, использует способ доставки старой школы — макросы в документах Microsoft Office.
Похоже, зловред, именуемый Locky, попросту перенял этот трюк у банкера Dridex. Он распространяется с помощью поддельных писем с вложением, замаскированным под инвойс. Когда получатель открывает этот файл, оформленный как документ Word, его просят активировать макрос.
Если выполнить это указание, на машину загрузится исполняемый код, который при запуске начнет шифровать пользовательские файлы. Как и прочие вымогатели, Locky создает текстовый файл с требованием выкупа; в этом сообщении указан адрес сети Tor, по которому можно произвести оплату в биткойнах.
Нового блокера обнаружили несколько ИБ-команд, в том числе три исследователя из Palo Alto Networks, которые зафиксировали порядка 446 тыс. сеансов связи, инициированных Bartalex для загрузки вымогателя на компьютеры жителей США, Канады и Австралии. Ранее этот использующий макросы даунлоудер таким же образом осуществлял доставку загрузчика Pony и банковского троянца Dyre.
Исследователи полагают, что сходство способов доставки Locky и Dridex в данном случае не случайно; стоящие за ними группировки должно что-то связывать, судя по «одинаковому способу распространения, совпадению имен файлов и отсутствию масштабных кампаний» со стороны одного из наиболее агрессивных операторов Dridex.
По свидетельству блогера BleepingComputer.com Лоуренса Абрамса (Lawrence Abrams), также изучившего Locky, этот шифровальщик заменяет имя файла произвольной последовательностью букв и цифр, добавляя расширение .locky. Особенно эксперта встревожил тот факт, что зловред шифрует данные даже в сетевых папках, не подключенных к Интернету.
«Прописать в коде шифрование данных в общих папках, не подключенных к Сети, — пара пустяков, — комментирует Абрамс. — Кроме того, эту функцию мы недавно обнаружили у DMA Locker, а теперь видим в Locky. С учетом этих фактов можно ожидать, что данное нововведение скоро станет нормой».
Исследователи из Fortinet, изучив C&C-коммуникации Locky и его DGA, вынуждены были признать, что создатели этого зловреда хорошо знают свое дело. О новом криптоблокере пишет также в своем блоге Кевин Бомон (Kevin Beaumont), которому посчастливилось перехватить трафик Locky. Судя по твитам Бомона на эту тему, ему удалось зарегистрировать один из C&C-доменов Locky и с его помощью определить скорость распространения новой инфекции. Как оказалось, новый вымогатель способен за три дня заразить порядка 250 тыс. компьютеров.
