За последние несколько дней исследователи зафиксировали мощную волну вредоносного спама, содержащего загрузчик вымогателя Locky. Новый вариант блокера может работать даже при отсутствии подключения к Интернету, сообщают эксперты F-Secure.

Как рассказали исследователи, 12 июля злоумышленники разослали десятки тысяч email-сообщений, пиковые объемы вредоносного спама достигали 120 тыс. писем в час. Как и в случаях аналогичных кампаний, в качестве вредоносного вложения используются .zip-архивы с инсталлятором Locky, причем по крайней мере часть спам-сообщений содержит Locky нового образца. Как пояснили исследователи из компании Avira, которая отслеживала спам-кампанию независимо от F-Secure, свежая модификация вымогателя может работать в офлайн-режиме.

Предыдущие итерации Locky функционировали только при наличии интернет-соединения, иначе процесс шифрования файлов не работал. Осведомленные об этом системные администраторы, узнав о заражении компьютеров Locky, просто отключали Интернет, чтобы предотвратить дальнейшую компрометацию.

Создатели Locky отреагировали симметрично: теперь зловред использует более простой алгоритм шифрования, но при этом шифрует файлы и в автономном режиме. Как пояснили в Avira, слабый криптографический метод может содержать уязвимость, которая позволяет использовать один и тот же публичный криптоключ для расшифровки на нескольких компьютерах. Этому, безусловно, обрадуются корпоративные пользователи: обычно в случае заражения они вынуждены платить более весомую сумму выкупа: корпоративные данные могут быть критически важными, и злоумышленники это прекрасно понимают.

Как считают эксперты, в крайнем случае можно заразить один компьютер в корпоративной сети, а затем заплатить выкуп, чтобы получить ключ и использовать его для более «дешевой» расшифровки других компьютеров. Новый вариант Locky генерирует один ключ на каждый эпизод заражения, а не на каждый компьютер.

Locky стал одним из самых заметных ransomware-явлений прошлого квартала и не сбавляет обороты; ранее стало известно о заражении систем нескольких больниц, что прервало или затруднило работу учреждений на несколько дней.

Категории: Вредоносные программы, Главное, Спам