Новый вымогатель под названием Zepto тревожит ИБ-экспертов своей связью с результативным и грозным криптолокером Locky. Zepto был впервые замечен около месяца назад, но недавняя волна вредоносного спама, содержащего загрузчик Zepto, произошедшая 27 июня, вызвала беспокойство и может означать активизацию вредоносных атак.

«Мы внимательно следим за Zepto. Он тесно связан с Locky, у них есть много общего, — рассказывает Крейг Уильямс (Craig Williams), глава команды по технологиям и менеджер по международному взаимодействию в Cisco Talos. — Нам предстоит многое узнать о Zepto. Судя по всему, это либо новая итерация Locky, либо совершенно новый вымогатель, использующий некоторые особенности Locky».

Исследовательское подразделение Cisco Talos, опубликовавшее отчет о новом криптолокере в четверг, говорит более чем о 137 тыс. спам-сообщений, содержащих загрузчик Zepto. Это имя было присвоено зловреду из-за расширения .zepto, которое появляется у зашифрованных файлов.

Технические подробности о Zepto также говорят о его родстве с Locky, утверждает Уоррен Мерсер (Warren Mercer), ИБ-исследователь в Cisco Talos. Среди общих черт — тип RSA-ключей, типы файлов, оставляемых после себя как Zepto, так и Locky, а также схожий текст сообщения с требованием выкупа.

«Мы действуем быстро и рассматриваем как можно больше образцов, чтобы понять, является ли новый зловред вариантом Locky или же это отдельный вымогатель», — сказал Мерсер.

Уильямс подчеркнул, что ввиду резкого роста ransomware-атак рынок наводнили ограниченные в действии и неэффективные вымогатели. Однако, хотя Zepto в данный момент можно назвать ограниченным, его эффективность довольно высока.

«Это нас беспокоит. В случае Zepto чувствуется профессионализм разработки, и этот зловред способен заразить десятки тысяч пользователей. Так что новый вымогатель — предмет нашего повышенного внимания», — сказал Уильямс.

Заражение происходит через вредоносный zip-архив, приложенный к электронному письму и содержащий исполняемый JavaScript-файл. Как только этот файл запущен, зловред загружается и, не привлекая внимания, начинает шифровать файлы в фоновом режиме, добавляя к имени файла расширение.zepto.

Более подробное изучение JavaScript-вложения показало, что в 137 тыс. спам-сообщений содержалось 3305 уникальных образцов зловреда.

«При исполнении вредоносного JavaScript запускается wscript.exe, который отправляет по HTTP GET-запросы в определенные домены. В этом состояло отличие образцов друг от друга: некоторые сообщались только с одним доменом, некоторые — с девятью различными доменами», — говорится в описании работы Zepto.

Распространение Zepto происходит через спам-ботнеты, проводящие ковровые рассылки. Хотя 137 тыс. спам-сообщений — не так уж много для засева вымогателя  (некоторые распространяются тиражом более 50 млн сообщений в день), Уильямс считает, что это достаточно впечатляющая цифра для вымогателя, только что появившегося в дикой природе.

Исследователи отмечают, что вредоносные email-сообщения персонализированы: они включают приветствие, в котором к жертве обращаются по имени. В качестве темы письма используются отсылки к выставленным счетам или финансовым отчетам.

В настоящее время лишь около 8% спама содержит вредоносные вложения.

«Если Zepto продолжит использовать этот вектор атаки, он никогда не станет серьезной угрозой. Однако, вероятно, он станет распространяться с помощью эксплойт-паков, — уточняет Уильямс. — Если, например, Zepto станут раздавать через вредоносные рекламные сети, все будет намного хуже».

Категории: Аналитика, Вредоносные программы, Главное, Спам