Ботнет Kelihos существует уже около восьми лет и пережил по крайней мере две попытки закрытия — в 2011 и 2012 годах.

За время своего существования он служил для самых различных целей — от доставки любовного спама до распространения вымогателей вроде MarsJoke и Wildfire. С августа злоумышленники используют ботнет для раздачи шифровальщиков и банкеров, и в какой-то момент Kelihos трижды вырос в размерах всего за ночь. Он начал распространять такие зловреды, как Panda Zeus, Nymain и Kronos, но вскоре снова вернулся к старому доброму вымогательскому ПО.

В настоящее время исследователи наблюдают, что Kelihos занимается распространением вредоносного спама, содержащего шифровальщик Troldesh. Жертва должна кликнуть на вредоносную ссылку, ведущую на документ Word и вредоносный JavaScript. Это первый случай заражения JS-файлом через этот ботнет.

Особая ирония состоит в том, что зловред шифрует файлы, добавляя расширение .no_more_ransom, копирующее название известной инициативы, направленной на борьбу с вымогательским ПО. Последняя уже помогла тысячам пользователей расшифровать файлы без уплаты выкупа.

Troldesh распространяется по адресам в зоне .au, то есть кампания направлена преимущественно на жителей Австралии. Спам-сообщения, которые должны обманом заставить пользователей загрузить вымогатель, имитируют сообщения банка Bank of America о якобы имеющейся задолженности и предлагают открыть файл, где описаны действия для «разрешения ситуации».

После того как пользователь скачивает вымогатель, последний шифрует файлы и демонстрирует сообщение с требованием выкупа (на русском и английском языках). Для связи со злоумышленниками используется адрес почты Gmail. Также в инструкции рассказано, как загрузить Tor-браузер и заходить на .onion-сайты.

Кроме того, Troldesh умеет загружать другое вредоносное ПО на инфицированный компьютер — например, зловред Pony для похищения информации.

Категории: Вредоносные программы, Спам