Новые приёмы шифровальщика Locky

Новые приёмы шифровальщика Locky


В этой статье мы рассмотрим приемы одного из наиболее известных семейств шифровальщиков: Locky.

Недавно (наши коллеги из Avira сообщили об этом в июле) авторы шифровальщика добавили новую функцию, которая включает в себя офлайновый режим, а потому теперь зловред может шифровать файлы и без подключения к серверу. В данном случае слабое место – это ключ, который является единым для каждого компьютера, где шифруются файлы, но единый ключ используется только в том случае, если по каким-либо причинам шифровальщику недоступен C&C-сервер.

Но теперь авторы изменили способ, которым они заражают компьютеры. Обычно такие атаки используют небольшой троян-загрузчик, который скачивает и запускает шифровальщик. Например, когда атака использует файл с javascript, то он, как правило, скачивает небольшой исполняемый файл, который нужен только для того, чтобы получить шифровальщик и запустить его . Как я уже писал ранее , кибер-преступники постоянно делают различные изменения, чтобы попытаться избежать обнаружения со стороны решений безопасности.

Распространение новой атаки
В этом случае, когда атака распространялась по электронной почте, мы увидели целый ряд образцов в виде zip-файла, который содержал внутри файл с javascript под названием “utility_bills_copies <random characters>.js”. Однако существуют различные версии, использующие различные названия и типы файлов, например:


А внутри был следующий файл:


Они пропустили часть с троянцем-загрузчиком, а скрипт получал вариант Locky в DLL-формате (при использовании загрузчика в большинстве случаев скачиваемый файл был EXE), который исполняется при использовании Windows rundll32.exe. Первая встреча с таким вариантом была 22 августа и авторы до сих пор пока используют эту стратегию. Как Вы можете видеть, кибер-преступники каждую неделю запускают новую волну атак:


Наиболее сильно пострадавшие страны
Мы видели всего несколько сотен попыток заражения, преимущественно в Северной и Южной Америке и Европе, хотя они также происходили и в Африке и Азии. В том случае, если такие атаки будут высокоэффективны, то, возможно, мы увидим рост их числа в ближайшие недели. Ниже Вы можете найти список с некоторыми хэшами данного варианта Locky:
Автор статьи: Луис Корронс
Оригинал статьи: Know the tricks of the new Locky


Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
шифровальщик Locky трояны заражение антивирусы кибератаки PandaLabs информационная безопасность
Alt text

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.