Locky шифрлаушының жаңа нұсқалары

AppRiver деректері бойынша спам тарату хаттарының тақырыптарында міндетті түрде «please print», «documents», «images», «photos», «pictures» және «scans» деген сөздер қамтылады, яғни зиянкестер, әдеттегідей, өз қызметін құжаттар, суреттер мен скан берілген дағдылы хаттарға ұқсастырып жасырады.

Іс жүзінде мұндай хаттар зиянды Visual Basic Script (VBS) кіріктірілген ZIP-архивті қамтиды. Пайдаланушы файлды ашуды бастаған кезде Lukitus деген атауға ие болған (фин тіліндегі мағынасы «бұғатталды») Locky жаңа нұсқасын жүктеу басталады. Төменде файлдарды шифрлау аяқталғаннан кейін малварь экранға шығаратын ақы төлеу талабы берілген жаңа хабарламаны көруге болады. Деректердің шифрын ашу үшін зиянкестер 0,5 биткоинді (шамамен $2300) талап етеді. Мамандар аталған спам-кампания бұрыңғыша белсенді екенін ескертеді.

Өз кезегінде, Comodo Labs талдаушылары 2017 жылғы тамыздың басында орын алған спам-кампанияны тіркеді. Осы кампанияның кезінде де мамандар IKARUSdilapidated деп атаған Locky жаңа нұсқасы таратылды және зиянкестер барлығы 63 000 астам хат жіберді.

IKARUSdilapidated нұсқасы әлемнің 133 еліндегі 11 625 IP-мекенжайынан таратылды, яғни өлшемі аз емес ботнет іске қосылған. Жоғарыда сипатталған жағдайға ұқсас шабуыл жасаушылар малвариді жүктеуді бастамалайтын зиянды VBS жұмысына сүйенген. Алайда, Locky бұл нұсқасы тек қана АҚШ пайдаланушыларына шабул жасамай, Үндістан, Мексика, Вьетнам, Түркия, Индонезия және т.б. көздеген. IKARUSdilapidated зиян келтірілгендерден 0,5-тен 1 биткоинға дейінгі мөлшерде ақы төлеуді талап етеді.

Malwarebytes маманы Марсело Риверо одан да қызығырақ зиянды кампанияны сипаттады. Зерттеуші мамандар №5 кампания ретінде сәйкестендіретін кампания басқалардан ерекше екенін баяндады. Бұл жағдайда Locky зиянды макростары бар Word құжаттарының көмегімен таратылады. Бірақ маманды осы жағдайда бірдеңе қызықтырды, себебі зиянкесті тарату механизмі стандартты «әлеуметтік инженерияны пайдаланып, пайдаланушыны макростарды іске қосуға мәжбүрлейміз» схемасынан ерекшеленеді.

Риверо зиянды скрипт пайдаланушы Word құжатын жапқанға дейін іске қосылмайды деп жазады. Малваридің құрбандары үшін айрымашылық елеулі болмаса да, АҚ-мамандары үшін осы сәт өте маңызды, өйткені ол сканерлер мен басқа қорғау шешімдерінің іс-қимылына тікелей әсер етеді.

My Online Security, ISC SANS және CSIS талдаушылары тағы бір кампанияны тіркеді. Бұл жағдай №3 кампания ретінде сәйкестендіріледі. Мұнда қайтадан Lukitus туралы айтылған, бірақ зиянкестер енді төмендегі иллюстрацияда берілгендей өздерінің хаттарын Dropbox аккаунттарын тексеруге сұрау салуларға ұқсастырады.


Сондай-ақ, ағымдағы сәтте ең көлемді №3 кампаниядан кейін тұрған топ HoeflerText шабуылдарының техникасын құрал ретінде алды. Аталған әдістеменің мәні оның атауында көрсетілген: шабуыл жасаушылар зиянды жарнама мен эксплоиттар жинағын іске қосып, нәтижесінде пайдаланушы пайда болатын оған HoeflerText қаріптер топтамасын жаңарту немесе орнату ұсынылатын хабарламаны көреді. Онсыз мақсатты парақшаны қарау мүмкін емес сияқты.


Мұндай пайда болатын терезелер тек қана Firefox және Chromium негізделген браузерлердің пайдаланушыларына қарсы пайдаланылады. HoeflerText шабуылдары мен «Dropbox аккаунтын тексеру» арқылы Locky тарату.

KZ-CERT қызметі Locky операторларының белсенділігі артып келе жатқан сияқты болуына байланысты пайдаланушыларға қырағылықты жоғарылатуды және сенімсіз көздерден алынған күдікті хаттар мен файлдарды ашпауды ұсынады. Сонымен қатар HoeflerText пайдаланылуын ескере отырып, жарнаманы бұғаттаушыларды елемеген жөн болмайды.