Новая разновидность вымогательского программного обеспечения для компьютеров, находящихся под управлением Windows, была обнаружена исследователями компании Palo Alto Networks. Новая вредоносная программа Locky использует способ загрузки, схожий с Dridex.
Распространение Locky осуществляется путем рассылки спам-писем с вложенными документами Word. В документе находится макрос, который инициирует загрузку вымогательского программного обеспечения с удаленного сервера. Банковская троянская программа Dridex использует идентичный способ загрузки.
Как утверждают специалисты, за разработкой Locky и Dridex могут стоять одни и те же хакеры. Об этом свидетельствует схожий механизм распространения, одинаковые имена файлов и резкое снижение активности Dridex в момент выхода Locky.
Locky осуществляет шифровку файлов и добавляет к ним расширение .locky. Чтобы восстановить доступ к данным, пользователю необходимо перечислить выкуп на счет злоумышленника.
От других разновидностей вымогательского программного обеспечения Locky отличается тем, что данная программа пользуется C&C-инфраструктурой для обмена ключами в памяти до начала процесса шифрования информации. По мнению экспертов, эта особенность может применяться для того, чтобы предотвратить потерю доступа к данным.
Согласно информации Palo Alto Networks, хакерами была осуществлена крупномасштабная атака с использованием Locky. Специалистам удалось обнаружить свыше 400000 сессий с применением одного и того же загрузчика Bartallex для распространения вредоносной программы. Свыше 50% зараженных систем находились на территории США.