18% спама, отправленного в первую неделю марта, содержит вредоносные вложения, загружающие Locky.
Вымогательское ПО Locky, обнаруженное в феврале нынешнего года специалистами Palo Alto Networks, стало одним из самых распространенных семейств вредоносов, использующихся в спаме. Об этом сообщают ИБ-специалисты компании TrustWave. По их словам, более 18% из 4 млн нежелательных сообщений электронной почты содержали вредоносное вложение, загружающее Locky.
Об аналогичных результатах сообщают и прочие ИБ-компании. По данным Fortinet, 16,4% из 18 млн сообщений, перехваченных системой защиты Fortinet Intrusion Prevention System, содержали вложение, необходимое для загрузки вымогательского ПО. Остальные письма в основном распространяли трояны-вымогатели TeslaCrypt и CryptoWall.
Locky распространяется через ботнет, ранее использовавшийся для передачи вредоносного ПО Dridex. Вначале сообщения содержали вредоносный документ Word с макросом, загружающим вымогательское ПО. Теперь же спам содержит обфусцированный JavaScript-сценарий, при запуске инициализирующий закачку и запуск Locky. По данным исследователей McAfee, подобным образом злоумышленники пытаются обойти антивирусную защиту.
Locky шифрует и добавляет расширение *.locky к файлам на системе. Для восстановления доступа к информации пользователь должен отправить злоумышленнику определенную сумму средств в биткоинах. Для обмена ключами в памяти используется C&C-инфраструктура.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках