SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
19 Фев 2016

Вирус-вымогатель Locky переименовывает файлы

За последние год-два в Интернете развелось столько разных программ-вымогателей, что за ними трудно уследить. Один из новейших криптоблокеров примечателен тем, что, в отличие от своих собратьев, использует способ доставки старой школы — макросы в документах Microsoft Office.

Похоже, зловред, именуемый Locky, попросту перенял этот трюк у банкера Dridex. Он распространяется с помощью поддельных писем с вложением, замаскированным под инвойс. Когда получатель открывает этот файл, оформленный как документ Word, его просят активировать макрос.

Если выполнить это указание, на машину загрузится исполняемый код, который при запуске начнет шифровать пользовательские файлы. Как и прочие вымогатели, Locky создает текстовый файл с требованием выкупа; в этом сообщении указан адрес сети Tor, по которому можно произвести оплату в биткойнах.

Нового блокера обнаружили несколько ИБ-команд, в том числе три исследователя из Palo Alto Networks, которые зафиксировали порядка 446 тыс. сеансов связи, инициированных Bartalex для загрузки вымогателя на компьютеры жителей США, Канады и Австралии. Ранее этот использующий макросы даунлоудер таким же образом осуществлял доставку загрузчика Pony и банковского троянца Dyre.

Исследователи полагают, что сходство способов доставки Locky и Dridex в данном случае не случайно; стоящие за ними группировки должно что-то связывать, судя по «одинаковому способу распространения, совпадению имен файлов и отсутствию масштабных кампаний» со стороны одного из наиболее агрессивных операторов Dridex.

По свидетельству блогера BleepingComputer.com Лоуренса Абрамса (Lawrence Abrams), также изучившего Locky, этот шифровальщик заменяет имя файла произвольной последовательностью букв и цифр, добавляя расширение .locky. Особенно эксперта встревожил тот факт, что зловред шифрует данные даже в сетевых папках, не подключенных к Интернету.

«Прописать в коде шифрование данных в общих папках, не подключенных к Сети, — пара пустяков, — комментирует Абрамс. — Кроме того, эту функцию мы недавно обнаружили у DMA Locker, а теперь видим в Locky. С учетом этих фактов можно ожидать, что данное нововведение скоро станет нормой».

Исследователи из Fortinet, изучив C&C-коммуникации Locky и его DGA, вынуждены были признать, что создатели этого зловреда хорошо знают свое дело. О новом криптоблокере пишет также в своем блоге Кевин Бомон (Kevin Beaumont), которому посчастливилось перехватить трафик Locky. Судя по твитам Бомона на эту тему, ему удалось зарегистрировать один из C&C-доменов Locky и с его помощью определить скорость распространения новой инфекции. Как оказалось, новый вымогатель способен за три дня заразить порядка 250 тыс. компьютеров.

Теги:
утечка информации Locky
Источник:
Threatpost
1595
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015