Локки - Locky - Wikipedia

Локки
Псевдонимы
ТипТроян
ПодтипПрограммы-вымогатели
Авторы)Necurs

Локки является программы-вымогатели выпущен в 2016 году. Он доставляется по электронной почте (это якобы счет, требующий оплаты) с прикрепленным Microsoft Word документ, содержащий вредоносные макросы.[1] Когда пользователь открывает документ, он кажется полным тарабарщины и включает фразу «Включить макрос, если кодировка данных неверна». социальная инженерия техника. Если пользователь действительно включает макросы, он сохраняет и запускает двоичный файл, который загружает действительный Троян-шифровальщик, который зашифрует все файлы с определенными расширениями. Имена файлов преобразуются в уникальную комбинацию из 16 букв и цифр. Первоначально для этих зашифрованных файлов использовалось только расширение .locky. Впоследствии были использованы другие расширения файлов, включая .zepto, .odin, .aesir, .thor и .zzzzz. После шифрования сообщение (отображается на рабочем столе пользователя) с инструкцией загрузить Браузер Tor и посетите определенный веб-сайт, управляемый преступниками, для получения дополнительной информации. Веб-сайт содержит инструкции, требующие оплаты от 0,5 до 1 биткойн (По состоянию на ноябрь 2017 года стоимость одного биткойна варьируется от 9000 до 10000 долларов США через обмен биткойнов ). Поскольку у преступников есть закрытый ключ, а удаленные серверы контролируются ими, жертвы мотивированы платить за расшифровку своих файлов.[2][3]

Зашифрованный файл

Операция

Самый распространенный механизм заражения - это получение электронного письма с вложенным документом Microsoft Word, содержащим код. Документ представляет собой тарабарщину и предлагает пользователю включить макросы для просмотра документа. Включение макросов и открытие документа запускают вирус Locky.[4]После запуска вирус загружается в память системы пользователя, шифрует документы как файлы hash.locky, устанавливает файлы .bmp и .txt и может шифровать сетевые файлы, к которым у пользователя есть доступ.[5]Это был другой путь, чем большинство программ-вымогателей, поскольку они использовали макросы и вложения для распространения, а не устанавливались трояном или использовали предыдущий эксплойт.[6]

Обновления

22 июня 2016 г. Necurs выпустила новую версию Locky с новым компонентом загрузчика, который включает несколько методы предотвращения обнаружения, например, определение того, работает ли он в виртуальная машина или внутри физической машины, и перемещение кода инструкции.[7]

С момента выпуска Locky было выпущено множество вариантов, в которых использовались разные расширения для зашифрованных файлов. Многие из этих пристроек названы в честь богов скандинавской и египетской мифологии. При первом выпуске для зашифрованных файлов использовалось расширение .Locky. В других версиях для зашифрованных файлов использовались расширения .zepto, .odin, .shit, .thor, .aesir и .zzzzz. Текущая версия, выпущенная в декабре 2016 года, использует расширение .osiris для зашифрованных файлов.[8]

Методы распространения

С момента выпуска программы-вымогателя использовалось множество различных методов распространения Locky. Эти методы распространения включают наборы эксплойтов,[9] Вложения Word и Excel с вредоносными макросами,[10] Вложения DOCM,[11] и заархивированные вложения JS.[12]

По общему мнению экспертов по безопасности, чтобы защитить себя от программ-вымогателей, включая Locky, следует обновлять установленные программы и открывать вложения только от известных отправителей.

Шифрование

Locky использует шифр RSA-2048 + AES-128 с режимом ECB для шифрования файлов. Ключи генерируются на стороне сервера, что делает невозможным ручное дешифрование, а программа-вымогатель Locky может шифровать файлы на всех фиксированных дисках, съемных дисках, сетевых дисках и дисках RAM.[13]

Распространенность

Сообщается, что Locky был разослан примерно полумиллиону пользователей 16 февраля 2016 года, причем сразу после того, как злоумышленники увеличили их распространение среди миллионов пользователей.[14] Несмотря на более новую версию, данные Google Trend показывают, что количество заражений снизилось примерно в июне 2016 года.[15]

Известные инциденты

18 февраля 2016 г. Голливудский пресвитерианский медицинский центр заплатил выкуп в размере 17000 долларов в виде биткойнов за ключ дешифрования данных пациента.[16] Больница была заражена отправкой вложения электронной почты, замаскированной под счет Microsoft Word.[17]Это привело к росту опасений и знаний о программах-вымогателях в целом и снова привлекло внимание общественности к программам-вымогателям. Похоже, что существует тенденция к использованию программ-вымогателей для атак на больницы, и эта тенденция, похоже, растет.[18]

31 мая Necurs перешел в спящий режим, возможно, из-за сбоя в C&C сервере.[19][оригинальное исследование? ] В соответствии с Софтпедия, было меньше спам-письма с Локки или Дридекс прикреплен к нему. Однако 22 июня MalwareTech открыл Necurs боты последовательно опрашивал DGA пока C&C сервер не ответил с цифровой подписью отклик. Это означало, что Некурс больше не бездействовал. В киберпреступник группа также начала рассылать очень большое количество спам-писем с прикрепленными к ним новыми и улучшенными версиями Locky и Dridex, а также новым сообщением и заархивированным JavaScript код в электронных письмах.[7][20]

В апреле 2016 г. Дартфордский научно-технический колледж компьютеры были заражены вирусом. Студент открыл зараженное письмо, которое быстро распространилось и зашифровало многие школьные файлы. Вирус оставался на компьютере несколько недель. В конце концов, им удалось удалить вирус с помощью функции восстановления системы на всех компьютерах.

Вектор спама

Ниже приведен пример сообщения с прикрепленным файлом Locky:

Уважаемый (случайное имя):

Прилагаем наш счет за предоставленные услуги и дополнительные выплаты по вышеупомянутому вопросу.

Надеясь на ваше удовлетворение, мы остаемся

Искренне,

(случайное имя)

(случайное название)

Рекомендации

  1. ^ Шон Галлахер (17 февраля 2016 г.). ""Locky "шифровальщик атакует вредоносный макрос документа Word". arstechnica.
  2. ^ "locky-ransomware-what-you-need-to-know". Получено 26 июля 2016.
  3. ^ "блокируемая программа-вымогатель". Получено 26 июля 2016.
  4. ^ Пол Даклин (17 февраля 2016 г.). "Locky ransomware: что вам нужно знать". Обнаженная безопасность.
  5. ^ Кевин Бомонт (17 февраля 2016 г.). «Вирус-вымогатель Locky распространяется через документы Word».
  6. ^ Кришнан, Ракеш. «Как простое открытие документа MS Word может захватить каждый файл в вашей системе». Получено 30 ноября 2016.
  7. ^ а б Весна, Том. "Ботнет Necurs вернулся, обновленный с помощью более умного варианта блокировки". ЗАО «Лаборатория Касперского». Получено 27 июн 2016.
  8. ^ «Информация о программе Locky Ransomware, справочное руководство и часто задаваемые вопросы». КровотечениеКомпьютер. Получено 9 мая 2016.
  9. ^ "БЛОКИРОВКА БЕЗОПАСНОСТИ ОТ 81.177.140.7 ОТПРАВЛЯЕТ" ОСИРИС "ВАРИАНТ БЛОКИРОВКИ". Вредоносное ПО-Трафик. Получено 23 декабря 2016.
  10. ^ Абрамс, Лоуренс. «Locky Ransomware переключается на египетскую мифологию с расширением Osiris». КровотечениеКомпьютер. Получено 5 декабря 2016.
  11. ^ «Программа-вымогатель Locky, распространяемая через вложения DOCM в последних электронных кампаниях». FireEye. Получено 17 августа 2016.
  12. ^ «Программа-вымогатель Locky теперь встроена в Javascript». FireEye. Получено 21 июля 2016.
  13. ^ "Блокируемая программа-вымогатель". Получено 8 сентября 2017.
  14. ^ "заблокированные угрозы программ-вымогателей". Архивировано из оригинал 28 августа 2016 г.. Получено 26 июля 2016.
  15. ^ "Google Trends". Google Trends. Получено 2016-08-14.
  16. ^ Ричард Винтон (18 февраля 2016 г.). «Голливудская больница платит хакерам 17 000 биткойнов; расследование ФБР». LA Times.
  17. ^ Джессика Дэвис (26 февраля 2016 г.). «Встречайте самую последнюю угрозу кибербезопасности: Locky». Новости информационных технологий в сфере здравоохранения.
  18. ^ Кришнан, Ракеш. «Атаки программ-вымогателей на больницы подвергают пациентов опасности». Получено 30 ноября 2016.
  19. ^ "Ботнет Necurs и подобные темы | Frankensaurus.com". frankensaurus.com. Получено 2020-11-14.
  20. ^ Лоэб, Ларри. "Ботнет Necurs возвращается из мертвых". Разведка безопасности. Получено 27 июн 2016.