Вымогательская программа Locky, активность которой прекратилась в мае этого года, вновь действует.
Специалисты Cisco Talos выявили крупномасштабную кампанию по распространению новой разновидности Locky, которая проводится посредством ботсети Necurs. Примечательно, что вымогательская программа может осуществлять шифрование файлов лишь на компьютерах с устаревшими версиями Windows (XP и Vista).
По словам специалистов, операторы ботнета Necurs, вымогательских программ Locky и Jaff являются участниками одной и той же хакерской группы. Эксперты «Лаборатории Касперского» на прошлой неделе выявили ошибку в алгоритме шифрования Jaff и создали утилиту для того, чтобы восстановить зашифрованные файлы. После публикации данного инструмента хакеры прекратили распространение Jaff, запустив кампанию с Locky, поскольку эксперты все еще не взломали алгоритм шифрования этой программы.
Создатели Locky так спешили с заменой взломанного варианта Jaff, что сделали несколько ошибок в ходе разработки новой разновидности шифровальщика. Как утверждают эксперты Cisco Talos, вымогательская программа не работает на компьютерах с Windows 7, 8, 8.1 и 10 и функционалом предотвращения выполнения данных (Data Execution Prevention – совокупность программных и аппаратных технологий, которая дает возможность выполнять дополнительные проверки содержимого памяти и не допускать исполнения вредоносного кода).
Распространение новой разновидности Locky осуществляет посредством спам-сообщений, которые замаскированы под платежные квитанции и уведомления о подтверждении заказа. Хакеры задействуют новую методику упаковки вложенных файлов. Так, в спам-письме содержится ZIP-файл, который состоит из еще одного архива, где находится исполняемый файл для запуска Locky. Помимо этого, новая разновидность имеет защитный функционал, который предотвращает запуск Locky в виртуальных машинах.