Locky (Locky)
Locky — сетевой червь и программа-вымогатель денежных средств, атакующая операционные системы Microsoft Windows и Mac OS. Массовое распространение получила в 2016 году. Распространяется с помощью электронной почты (под видом выставленного счета, который требует оплаты) с приложенным документом Microsoft Word, содержащим вредоносные макросы[1]. Является трояном шифрования, который шифрует файлы зараженных компьютеров. В результате вымогатели пытаются получить выкуп за расшифровку от пользователей зараженных компьютеров.
Метод атаки
[править | править код]Механизм заражения заключается в получении электронного письма с вложенным документом Microsoft Word, содержащий вредоносный код. При открытии файл предлагает пользователю включить макросы для просмотра документа. Включение макросов и открытие документа запускают вирус Locky[2]. После запуска вируса он загружается в память системы пользователей, шифрует документы в виде файлов hash.locky. Первоначально для зашифрованных файлов использовалось только расширение файла .locky. Впоследствии были использованы другие расширения файлов, в том числе .zepto, .odin, .aesir, .thor и .zzzzz. После шифрования сообщение (отображаемое на рабочем столе пользователя) инструктирует их загрузить браузер Tor и посетить конкретный веб-сайт, предназначенный для преступных целей, для получения дополнительной информации. Веб-сайт содержит инструкции, требующие выплаты от 0,5 до 1 биткойна (по состоянию на ноябрь 2017 года стоимость одного биткойна варьируется от 9 000 до 10 000 долларов США через обмен биткойнов). Поскольку у преступников есть закрытый ключ и удаленные серверы контролируются ими, жертвы мотивированы платить за расшифровку своих файлов[2][3].
Обновления
[править | править код]22 июня 2016 году компания Necurs выпустила новую версию Locky с новым компонентом загрузчика, который включает несколько методов, позволяющих избежать обнаружения, таких как обнаружение, работает ли он на виртуальной машине или на физической машине, и перемещение кода инструкции[4].
Со времени выпуска Locky было выпущено множество вариантов, которые использовали различные расширения для зашифрованных файлов. Многие из этих расширений названы в честь богов скандинавской и египетской мифологии. При первом выпуске расширение, используемое для зашифрованных файлов, было .Locky.Другие версии использовали для зашифрованных файлов расширения .zepto, .odin, .shit, .thor, .aesir и .zzzzz. Текущая версия, выпущенная в декабре 2016 года, использует расширение .osiris для зашифрованных файлов[5].
Распространение
[править | править код]С момента выпуска вымогателей было использовано много разных методов распространения. Эти методы распространения включают в себя наборы эксплойтов[6], вложения Word и Excel с вредоносными макросами[7], вложения DOCM[8] и вложенные JS-вложения[9].
Шифрование
[править | править код]Locky использует RSA-2048 + AES-128 с режимом ECB для шифрования файлов. Ключи генерируются на стороне сервера, что делает невозможным ручное дешифрование, а Locky Ransomware может шифровать файлы на всех жестких дисках, съемных дисках, сетевых дисках и дисках RAM[10].
Распространенность
[править | править код]Сообщается, что на 16 февраля 2016 года Locky был разослан около полумиллиона пользователей, и сразу после того, как злоумышленники увеличили их распространение среди миллионов пользователей. Несмотря на более новую версию, данные Google Trend показывают, что инфекции прекратились примерно в июне 2016 года[11].
Известные инциденты
[править | править код]18 февраля 2016 года Голливудский пресвитерианский медицинский центр заплатил выкуп в размере 17 000 долларов США в виде биткойнов за ключ расшифровки данных пациента[12].
В апреле 2016 года компьютеры Дартфордского научно-технического колледжа были заражены вирусом. Студент открыл зараженную электронную почту, которая быстро распространила и зашифровала многие школьные файлы. Вирус оставался на компьютере в течение нескольких недель. В конце концов им удалось удалить вирус с помощью функции восстановления системы для всех компьютеров.
Компании Microsoft удалось захватить шесть миллионов доменных имен, используемых ботнетом Necurs[13].
Пример заражённого сообщения
[править | править код]Dear (random name):
Please find attached our invoice for services rendered and additional disbursements in the above-mentioned matter.
Hoping the above to your satisfaction, we remain
Sincerely,
(random name)
(random title)
Примечания
[править | править код]- ↑ Sean Gallagher. “Locky” crypto-ransomware rides in on malicious Word document macro (англ.). Ars Technica (17 февраля 2016). Дата обращения: 18 декабря 2019. Архивировано 19 декабря 2019 года.
- ↑ 1 2 “Locky” ransomware – what you need to know (англ.). Naked Security (17 февраля 2016). Дата обращения: 18 декабря 2019. Архивировано 19 декабря 2019 года.
- ↑ “Locky” ransomware – what you need to know (англ.). Naked Security (17 февраля 2016). Дата обращения: 18 декабря 2019. Архивировано 19 декабря 2019 года.
- ↑ Google Переводчик . translate.google.com. Дата обращения: 18 декабря 2019.
- ↑ Locky Ransomware Information, Help Guide, and FAQ (англ.). BleepingComputer. Дата обращения: 18 декабря 2019. Архивировано 17 января 2020 года.
- ↑ Malware-Traffic-Analysis.net - 2016-12-23 - Afraidgate Rig-V from 81.177.140.7 sends "Osiris" variant Locky . www.malware-traffic-analysis.net. Дата обращения: 18 декабря 2019. Архивировано 18 декабря 2019 года.
- ↑ Locky Ransomware switches to Egyptian Mythology with the Osiris Extension (англ.). BleepingComputer. Дата обращения: 18 декабря 2019. Архивировано 19 ноября 2020 года.
- ↑ Locky Ransomware Distributed Via DOCM Attachments in Latest Email Campaigns (англ.). FireEye. Дата обращения: 18 декабря 2019. Архивировано 19 декабря 2019 года.
- ↑ Locky Ransomware Now Embedded in Javascript (англ.). Cyren. Дата обращения: 18 декабря 2019. Архивировано 30 декабря 2019 года.
- ↑ What is Locky Ransomware? (англ.). What is Locky Ransomware?. Дата обращения: 18 декабря 2019. Архивировано 19 декабря 2019 года.
- ↑ Google Trends . Google Trends. Дата обращения: 18 декабря 2019. Архивировано 10 февраля 2017 года.
- ↑ Hollywood hospital pays $17,000 in bitcoin to hackers; FBI investigating (англ.). Los Angeles Times (18 февраля 2016). Дата обращения: 18 декабря 2019. Архивировано 23 декабря 2019 года.
- ↑ Microsoft устроила атаку на ботнет Necurs . Дата обращения: 21 марта 2020. Архивировано 21 марта 2020 года.