Locky вернулся, но атакует только системы на базе Windows XP и Vista
Авторы Locky допустили несколько ошибок при разработке новой версии шифровальщика.
Вымогательское ПО Locky, исчезнувшее с радаров в мае нынешнего года, снова в строю. Эксперты Cisco Talos зафиксировали масштабную кампанию по распространению новой версии шифровальщика, которая осуществляется c помощью спам-ботнета Necurs. Что интересно, вымогатель может шифровать файлы только на компьютерах под управлением устаревших версий Windows - XP и Vista, но не современных редакций ОС.
Как полагают исследователи, оператором ботнета Necurs, вымогателя Locky и его наследника Jaff является одна и та же кибергруппировка. На минувшей неделе специалисты «Лаборатории Касперского» обнаружили ошибку в алгоритме шифрования последнего и разработали инструмент для восстановления файлов, зашифрованных Jaff. После появления декриптора группировка прекратила распространение Jaff, вновь переключившись на Locky, так как экспертам все еще не удалось взломать его алгоритм шифрования.
Авторы Locky так торопились заменить взломанную версию Jaff, что допустили несколько ошибок при разработке новой версии шифровальщика. По словам экспертов Cisco Talos, вымогатель не работает на системах под управлением Windows 7 и выше с функцией предотвращения выполнения данных (Data Execution Prevention, DEP).
Новая версия Locky распространяется в спам-сообщениях, замаскированных под счета-фактуры, платежные квитанции, уведомления о подтверждении заказа и т.д. В отличие от предыдущих кампаний вирусописатели используют новый способ упаковки прикрепленных документов, напоминающий матрешку. Спам-письмо включает ZIP-файл, содержащий еще один архив, в котором, в свою очередь, находится исполняемый файл, запускающий Locky. Кроме того, новый вариант обзавелся защитными функциями, предотвращающими его запуск в виртуальных машинах и в других средах отладки.
Предотвращение выполнения данных (Data Execution Prevention, DEP) – набор программных и аппаратных технологий, позволяющих выполнять дополнительные проверки содержимого памяти и предотвращать запуск вредоносного кода.