Шифратор Locky возвращается, теперь с новым трояном-загрузчиком

Как сообщает разработчик антивирусного ПО международного масштаба, компания ESET, в мировой паутине набирает силу новая волна распространения «вымогателя Locky», требования выкупа у которого, появляющиеся на экране, практически идентичны с оформлением трояна-шифровальщика Bart. Явно, что киберпреступники, создавшие и распространяющие вредоносное ПО Dridex, не удовлетворены первым этапом распространения Locky в феврале 2016 с помощью загрузчика Nemucod.

Отсутствие информации о вредоносном трояне-загрузчике в мае лишь свидетельствует, что злоумышленники использовали временное затишье для усовершенствования вредоносной программы, что подтверждает возросшее число случаев, зафиксированных в июне работающей в облаке ESET Live Grid. Построенная на инновационной технологии своевременного выявления, виртуальная система ESET Live Grid, анализирующая полученные от пользователей со всего мира данные, отмечает возросшее количество заражений загрузчиком JS/Danger.ScriptAttachment в Австрии, Люксембурге и Голландии.

Среди европейских пользователей вредоносный софт распространяется через спам, приходящий на e-mail. Открытие вложенных файлов активирует Danger, которым предпринимается попытка загрузить с постороннего сервера Win32/Filecoder.Locky.

Завершив  внедрения в рабочую машину пользователя, софт-шифратор Locky начинает сканировать «пораженный» комп, выискивая файлы .wma, .mov, .jpeg, .jpg, .rar, .zip, .ppt, .xls, .doc. Обнаруженные во время сканирования данные шифруются, выставляется требование о выкупе, с указанием суммы в биткоинах, которую владелец компьютера обязан заплатить за восстановление своего доступа к критически важным для него данным.

Новая волна внедрения шифратора Locky имеет свои особенности. Хоть и продолжает использоваться классический способ распространения через e-mail, но письма приходят из достоверных источников, не вызывающих сомнения у получателя. В этих письмах от пользователей, чьи компьютеры уже были заражены в первой волне распространения шифратора Locky,  обнаруживаются сжатые в формате .zip вложения, где и находится вредоносный файл JavaScript. Устанавливается связь с сервером, находящимся под контролем злоумышленников, откуда скачивается payload для Locky, поступает команда для запуска кодирования файлов.

Облачная сеть ESET Live Grid выявила разрастание числа доменов, с которых происходит как загрузка шифратора, так и управление им. Ряд доменных адресов зафиксировано еще в первой волне распространения шифратора, что свидетельствует об отсутствии информации у владельцев ресурсов о мошенническом использовании их площадок для распространения вредоносного ПО.

Несмотря на постоянное обновление вредоносного софта, практика показывает, что ИБ решения ESET успешно блокируют зараженные домены, препятствуя загрузке вирусов вымогателей на рабочие машины.

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.