[Перевод] Новые приемы шифровальщика Locky12.09.2016 12:18

8ca3b1d68810410da09655e4c7ddde3c.jpg

В этой статье мы рассмотрим приемы одного из наиболее известных семейств шифровальщиков: Locky.

Недавно (наши коллеги из Avira сообщили об этом в июле) авторы шифровальщика добавили новую функцию, которая включает в себя офлайновый режим, а потому теперь зловред может шифровать файлы и без подключения к серверу. В данном случае слабое место — это ключ, который является единым для каждого компьютера, где шифруются файлы, но единый ключ используется только в том случае, если по каким-либо причинам шифровальщику недоступен C&C-сервер.

Но теперь авторы изменили способ, которым они заражают компьютеры. Обычно такие атаки используют небольшой троян-загрузчик, который скачивает и запускает шифровальщик. Например, когда атака использует файл с javascript, то он, как правило, скачивает небольшой исполняемый файл, который нужен только для того, чтобы получить шифровальщик и запустить его. Как я уже писал ранее, кибер-преступники постоянно делают различные изменения, чтобы попытаться избежать обнаружения со стороны решений безопасности.

Распространение новой атаки


В этом случае, когда атака распространялась по электронной почте, мы увидели целый ряд образцов в виде zip-файла, который содержал внутри файл с javascript под названием «utility_bills_copies .js». Однако существуют различные версии, использующие различные названия и типы файлов, например:
040f47097c624a40a0edc63fdc12ae08.png

А внутри был следующий файл:
e8fd78dea2524b97a8c64b3984be62ca.png

Они пропустили часть с троянцем-загрузчиком, а скрипт получал вариант Locky в DLL-формате (при использовании загрузчика в большинстве случаев скачиваемый файл был EXE), который исполняется при использовании Windows rundll32.exe. Первая встреча с таким вариантом была 22 августа и авторы до сих пор пока используют эту стратегию. Как Вы можете видеть, кибер-преступники каждую неделю запускают новую волну атак:
ea61380554e74b4db78c0fe4a72de519.png

Наиболее сильно пострадавшие страны


Мы видели всего несколько сотен попыток заражения, преимущественно в Северной и Южной Америке и Европе, хотя они также происходили и в Африке и Азии. В том случае, если такие атаки будут высокоэффективны, то, возможно, мы увидим рост их числа в ближайшие недели. Ниже Вы можете найти список с некоторыми хэшами данного варианта Locky:
ransomware_list3 (3)

Автор статьи: Луис Корронс

Комментарии (0)

© Habrahabr.ru