ИБ-эксперты зафиксировали крупномасштабные киберкампании по распространению двух новых разновидностей вымогательской программы Locky.
По словам специалистов компании AppRiver, 28 августа в адрес множества американских пользователей в течение 24 часов поступило 23 миллиона вредоносных писем. Эта киберкампания стала одной из самых масштабных за второе полугодие 2017 года. Чтобы обмануть жертв, хакеры просили их распечатать что-либо, либо добавляли в тему писем различные слова: «документы», «изображения», «картинки», «фотографии» и «сканы».
В фишинговых письмах присутствовал вредоносный ZIP-архив, содержащий VBS-файл. При открытии сообщения пользователем VBS-файл активировал загрузчик, запускавший новый вариант Locky – Lukitus. Вредоносная программа осуществляла шифрование всех файлов на инфицированном компьютере с добавлением расширения .lukitus. Затем на экране отображалось сообщение, содержащее инструкцию по инсталляции Tor Browser. После инсталляции браузера пользователь должен был перейти на веб-страницу, принадлежащую хакерам, и ждать указаний по выплате выкупа за восстановление файлов. За расшифровку необходимо заплатить 0,5 биткоина (около 2300 долларов). В настоящее время не существует утилиты, которая позволяет восстанавливать файлы без выплаты выкупа.
Эксперты Comodo Labs выявили еще одну крупномасштабную киберкампанию, проходившую в начале августа. В течение трех дней хакеры организовали рассылку 62000 спам-писем, которые распространяютт новую версию Locky – IKARUSdilapidated. Рассылка осуществлялась с 11625 IP-адресов из 133 стран, что свидетельствует об использовании злоумышленниками ботнета. Сумма выкупа за восстановление файлов составляет от 0,5 до 1 биткоина.
