Злоумышленники активно распространяют вымогательское ПО Locky

Вымогательское ПО Locky, обнаруженное  в феврале нынешнего года специалистами Palo Alto Networks, стало одним из самых распространенных семейств вредоносов, использующихся в спаме. Об этом сообщают ИБ-специалисты компании TrustWave. По их словам, более 18% из 4 млн нежелательных сообщений электронной почты содержали вредоносное вложение, загружающее Locky.

Об аналогичных результатах сообщают и прочие ИБ-компании. По данным Fortinet, 16,4% из 18 млн сообщений, перехваченных системой защиты Fortinet Intrusion Prevention System, содержали вложение, необходимое для загрузки вымогательского ПО. Остальные письма в основном распространяли трояны-вымогатели TeslaCrypt и CryptoWall.

Locky распространяется через ботнет, ранее использовавшийся для передачи вредоносного ПО Dridex. Вначале сообщения содержали вредоносный документ Word с макросом, загружающим вымогательское ПО. Теперь же спам содержит обфусцированный JavaScript-сценарий, при запуске инициализирующий закачку и запуск Locky. По данным исследователей McAfee, подобным образом злоумышленники пытаются обойти антивирусную защиту.

Locky шифрует и добавляет расширение *.locky к файлам на системе. Для восстановления доступа к информации пользователь должен отправить злоумышленнику определенную сумму средств в биткоинах. Для обмена ключами в памяти используется C&C-инфраструктура.