Locky жив: 23 миллиона заражённых писем за сутки

в 17:01, , рубрики: locky, антивирусная защита, Блог компании Cloud4Y, рассылки e-mail, Сетевые технологии, системное администрирование, спам, фишинг, шифровальщик

Согласно недавнему исследованию, проведённому тремя экспертами из Google, именно вирус-вымогатель Locky является самым результативным по размеру собранных с жертв средств. При этом WannaCry даже не входит в ТОП-10.
Locky жив: 23 миллиона заражённых писем за сутки - 1

Основная волна заражений пришлась на начало 2016 года. С тех под Locky уступил лидерство и количество известных случаев заражения резко снизилось. Но всякий раз, когда мы начинаем думать, что шифровальщик «Локки» мёртв, печально известная угроза возвращается с новым ударом.

Locky жив: 23 миллиона заражённых писем за сутки - 2
Locky жив: 23 миллиона заражённых писем за сутки - 3

Недавно исследователи из двух компаний по безопасности независимо друг от друга обнаружили две массовые спам-кампании, в ходе которых по электронной почте распространялись новые варианты шифровальщика Locky.

В ходе рассылки, обнаруженной исследователями AppRiver, всего за сутки 28 августа в США отправлено более 23 миллионов сообщений, содержащих Rawomware Locky, что, по-видимому, является одной из крупнейших «рекламных» кампаний второй половины этого года.

Как отметили исследователи, электронные письма, отправленные в ходе атаки, были «крайне расплывчатыми». C целью убедить жертв запустить файл с Locky основными темами писем были выбраны «отправьте на печать», «документы», «изображения», «фотографии», «изображения» и «сканы».

Письмо отправляется с ZIP-архивом со скрытым вредоносным вложением в виде Visual Basic Script (VBS) файла, вложенного в дополнительный ZIP-файл. Как только обманутая жертва кликает по нему, VBS файл запускает загрузчик, который скачивает последнюю версию Locky, так называемый Lukitus («заблокирован» на финском языке), с сайта greatesthits[.]mygoldmusic[.com]. Вирус зашифровывает все файлы на целевом компьютере и добавляет файлам расширение [.]Lukitus.

Locky жив: 23 миллиона заражённых писем за сутки - 4

После завершения процесса шифрования на рабочем столе традиционно отображается сообщение о выкупе с требованием от жертвы установить браузер Tor и посетить сайт злоумышленника для получения дополнительных инструкций.

Locky жив: 23 миллиона заражённых писем за сутки - 5

Lukitus требует 0,5 биткоина (~ $ 2300) за «Locky-дешифратор», который якобы позволит вернуть свои файлы.

Спам-кампания Lukitus продолжается, и исследователи AppRiver опубликовали сообщение о том, что в карантин их систем защиты попали письма для более чем 5,6 миллионов человек. К сожалению, для этого варианта Locky на данный момент неизвестно о возможности расшифровки.

В результате второй спам-кампании Locky исследователями Comodo Labs обнаружено более 62 000 писем, отправленных на защищаемые ими почтовые ящики.

Всего за несколько дней скоординированной атаки десяткам тысяч пользователей были направлены письма с прикрепленным файлом и небольшим текстом. Вложение — это архив с именем «E 2017-08-09 (580) .vbs» (для каждого письма часть «580» и расширение «vbs» — изменяются).

Locky жив: 23 миллиона заражённых писем за сутки - 6

Вложенные файлы могут иметь расширение .doc, zip, pdf, jpg, tiff. Фактически клик по файлу загружал «IKARUSdilapidated», новейшую разновидность вируса из семейства «Locky».

После того как социальная инженерия срабатывает, последовательность событий схожа с рассказанной для первой спам-кампании. Размер требуемого выкупа колеблется от 0,5 до 1 биткоина.

Locky жив: 23 миллиона заражённых писем за сутки - 7

Для выполнения этой рассылки использовалось 13325 различных IP-адресов в 133 странах. Большинство серверов атаки размещалось во Вьетнаме, Индии, Мексике, Турции и Индонезии. Исследователи проверили владельцев IP-диапазона и отметили, что большинство из них — телекоммуникационные компании и интернет-провайдеры. Это указывает на то, что IP-адреса принадлежат зараженным устройствам, так называемым «зомби-компьютерам», поэтому среди элементов этой атаки можно выделить и «ботнет» в дополнение к трояну и фишингу.

Произошедшее свидетельствует о растущей сложности организации и масштабности новых атак с целью вымогательства. Вирусы-вымогатели стали для злоумышленников многомиллионным и прибыльным бизнесом, надеяться на скорое прекращение атак не приходится. Многие эксперты считают, что в скором времени системы искусственного интеллекта смогут полностью защитить пользователя от подобных угроз. Мы же рекомендуем простые и очевидные профилактические меры защиты, которые могут быть использованы уже сегодня:

  • Остерегайтесь фишинговых писем. Обыкновенным пользователям тяжело объяснить все опасности документов, полученных из непроверенных источников. Возможным решением является антиспам защита с антивирусной проверкой.
  • Регулярное резервное копирование на внешнем удалённом устройстве хранения или в облаке.
  • Оперативное обновление антивирусного программного обеспечения и систем защиты.

P.S. Другие интересные статьи из нашего блога:
Как остановить DDoS-атаку + анализ кода WireX Botnet
Как делить Облако или о vCloud Director
«Государство в Облаках» и один пример ГИС из нашей практики
Сколько стоит ваша компания? Кратко об оценке стоимости бизнеса

Автор: Cloud4Y

Источник

Поделиться

* - обязательные к заполнению поля