Нові прийоми шифровальщика Locky



У цій статті ми розглянемо прийоми одного з найбільш відомих сімейств шифрувальників: Locky.

Нещодавно (наші колеги з Avira повідомили про це в липні) автори шифровальщика додали нову функцію, яка включає в себе офлайновий режим, а тому тепер він може шифрувати файли та без підключення до сервера. В даному випадку слабке місце – це ключ, який є єдиним для кожного комп'ютера, де зашифровані файли, але єдиний ключ використовується тільки в тому випадку, якщо з яких-небудь причин шифровальщику недоступний C&C-сервер.

Але теперавтори змінили спосіб, яким вони заражають комп'ютери. Зазвичай такі атаки використовують невеликий троян-завантажувач, який завантажує і запускає шифрувальник. Наприклад, коли атака використовує файл з javascript, то він, як правило, викачує невеликий виконуваний файл, який потрібен тільки для того, щоб отримати шифрувальник і запустити його. Як я вже писав раніше, кібер-злочинці постійно роблять різні зміни, щоб спробувати уникнути виявлення з боку рішень безпеки.

Поширення нової атаки
В цьому випадку, коли атака поширювалася по електронній пошті, ми побачили цілий ряд зразків у вигляді zip-файлу, який містив усередині файл з javascript під назвою “utility_bills_copies .js". Однак існують різні версії, використовують різні назви і типи файлів, наприклад:


А всередині був такий файл:


Вони пропустили частину з троянцем-завантажувачем, а скрипт отримував варіант Locky в DLL-форматі (при використанні завантажувача в більшості випадків скачуваний файл EXE), який виконується при використанні Windows rundll32.exe. Перша зустріч з таким варіантом була 22 серпня і автори досі використовують цю стратегію. Як Ви можете бачити, кібер-злочинці щотижня запускають нову хвилю атак:


Найбільш сильно постраждали країни
Ми бачили всього кілька сотень спроб зараження, переважно в Північній і Південній Америці і Європі, хоча вони також відбувалися і в Африці та Азії. У тому випадку, якщо такі атаки будуть високоефективні, то, можливо, ми побачимо зростання їх числа в найближчі тижні. Нижче Ви можете знайти список з деякими хэшами даного варіанту Locky:
ransomware_list3 (3)

Автор статті: Луїс Корронс
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.