Ботнет Necurs продолжает массовую атаку по рассылке вирусов-вымогателей (ransomware). Исследователи пресекают по 47 миллионов электронных писем в день. Злоумышленники, стоящие за атаками, продолжают распространять вирусы Lock и GlobeImposter, используя файлы с расширением .vbs (VBScript) либо.js (javascript), расположенные внутри архиватора .7z.
Архиватор 7zip делает размеры файлов небольшими, что позволяет вредоносным программам обойти фильтры электронной почты, которые не сканируют содержимое архивов.
В период между 19 и 22 декабря исследователи AppRiver обнаружили большой приток атак. 19 декабря все 45 976 814 задержанных писем были архивами .7z, содержащими вредоносные файлы .vbs. На следующий день количество заблокированных сообщений составило 47 309 380, из которых 32 730 828 - файлы .vbs, а остальные 14 578 552 были javascript-файлами.
«21 и 22 декабря трафик переключился на файлы с расширением .js и начал уменьшаться, - говорят исследователи. - Мы зафиксировали за эти два дня 36 290 981 и 29 602 971 сообщений, соответственно заблокированных, а с 23 по 23 декабря ботнет успокоился. Сегодня (26 декабря) Necurs снова проснулся на несколько часов, а затем снова замолчал».
Исследователь AppRiver Дэвид Пикетт предположил, что злоумышленники проверили уровень заражения и поняли, что многие из их потенциальных целей в отпуске.
В прошлом месяце Necurs отправлял за утро в общей сложности 12 миллионов вредоносных электронных писем и переместился с десятого на восьмое место в списке самых популярных вредоносных программ месяца.
