Как утверждают специалисты из TrustWave, вымогательская программа Locky, зафиксированная в феврале текущего года экспертами из Palo Alto Networks, стала одной из наиболее распространенных разновидностей вредоносного программного обеспечения, использующейся при проведении спам-кампании.
Согласно информации TrustWave, вредоносное вложение, содержащее Locky, присутствовало в 18% из 4 миллионов спам-писем.
Другие компании, специализирующиеся на обеспечении информационной безопасности, рапортуют об аналогичных результатах. Согласно информации Fortinet, в 16,4% из 18 миллионов сообщений, которые были перехвачены защитной системой Fortinet Intrusion Prevention System, присутствовало вложение, загружающее Locky. В других случаях вредоносные письма содержали троянские программы CryptoWall и TeslaCrypt.
Распространение Locky осуществляется посредством ботнета, ранее использовавшегося для передачи вредоносного программного обеспечения Dridex. В спам-письма был вложен вредоносный документ Word с макросом, который производил загрузку вымогательской программы. Сейчас спам-сообщения содержат JavaScript-сценарий, который инициализирует загрузку и установку Locky. Согласно информации специалистов из McAfee, с помощью данного механизма хакеры стремятся преодолеть защиту антивирусов.
Locky шифрует файлы и добавляет к ним расширение .locky. Чтобы восстановить доступ к данным, пользователю необходимо заплатить преступнику определенную сумму денег. Обмен ключами в памяти происходит при помощи C&C-инфраструктуры.