Locky

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Lockyсетевой червь и программа-вымогатель денежных средств, атакующая операционные системы Microsoft Windows и Mac OS. Массовое распространение получила в 2016 году. Распространяется с помощью электронной почты (под видом выставленного счета, который требует оплаты) с приложенным документом Microsoft Word, содержащим вредоносные макросы[1]. Является трояном шифрования, который шифрует файлы зараженных компьютеров. В результате вымогатели пытаются получить выкуп за расшифровку от пользователей зараженных компьютеров.

Метод атаки[править | править код]

Механизм заражения заключается в получении электронного письма с вложенным документом Microsoft Word, содержащий вредоносный код. При открытии файл предлагает пользователю включить макросы для просмотра документа. Включение макросов и открытие документа запускают вирус Locky[2]. После запуска вируса он загружается в память системы пользователей, шифрует документы в виде файлов hash.locky. Первоначально для зашифрованных файлов использовалось только расширение файла .locky. Впоследствии были использованы другие расширения файлов, в том числе .zepto, .odin, .aesir, .thor и .zzzzz. После шифрования сообщение (отображаемое на рабочем столе пользователя) инструктирует их загрузить браузер Tor и посетить конкретный веб-сайт, предназначенный для преступных целей, для получения дополнительной информации. Веб-сайт содержит инструкции, требующие выплаты от 0,5 до 1 биткойна (по состоянию на ноябрь 2017 года стоимость одного биткойна варьируется от 9 000 до 10 000 долларов США через обмен биткойнов). Поскольку у преступников есть закрытый ключ и удаленные серверы контролируются ими, жертвы мотивированы платить за расшифровку своих файлов[2][3].

Обновления[править | править код]

22 июня 2016 году компания Necurs выпустила новую версию Locky с новым компонентом загрузчика, который включает несколько методов, позволяющих избежать обнаружения, таких как обнаружение, работает ли он на виртуальной машине или на физической машине, и перемещение кода инструкции[4].

Со времени выпуска Locky было выпущено множество вариантов, которые использовали различные расширения для зашифрованных файлов. Многие из этих расширений названы в честь богов скандинавской и египетской мифологии. При первом выпуске расширение, используемое для зашифрованных файлов, было .Locky.Другие версии использовали для зашифрованных файлов расширения .zepto, .odin, .shit, .thor, .aesir и .zzzzz. Текущая версия, выпущенная в декабре 2016 года, использует расширение .osiris для зашифрованных файлов[5].

Распространение[править | править код]

С момента выпуска вымогателей было использовано много разных методов распространения. Эти методы распространения включают в себя наборы эксплойтов[6], вложения Word и Excel с вредоносными макросами[7], вложения DOCM[8] и вложенные JS-вложения[9].

Шифрование[править | править код]

Locky использует RSA-2048 + AES-128 с режимом ECB для шифрования файлов. Ключи генерируются на стороне сервера, что делает невозможным ручное дешифрование, а Locky Ransomware может шифровать файлы на всех жестких дисках, съемных дисках, сетевых дисках и дисках RAM[10].

Распространенность[править | править код]

Сообщается, что на 16 февраля 2016 года Locky был разослан около полумиллиона пользователей, и сразу после того, как злоумышленники увеличили их распространение среди миллионов пользователей. Несмотря на более новую версию, данные Google Trend показывают, что инфекции прекратились примерно в июне 2016 года[11].

Известные инциденты[править | править код]

18 февраля 2016 года Голливудский пресвитерианский медицинский центр заплатил выкуп в размере 17 000 долларов США в виде биткойнов за ключ расшифровки данных пациента[12].

В апреле 2016 года компьютеры Дартфордского научно-технического колледжа были заражены вирусом. Студент открыл зараженную электронную почту, которая быстро распространила и зашифровала многие школьные файлы. Вирус оставался на компьютере в течение нескольких недель. В конце концов им удалось удалить вирус с помощью функции восстановления системы для всех компьютеров.

Компании Microsoft удалось захватить шесть миллионов доменных имен, используемых ботнетом Necurs[13].

Пример заражённого сообщения[править | править код]

Dear (random name):

Please find attached our invoice for services rendered and additional disbursements in the above-mentioned matter.

Hoping the above to your satisfaction, we remain

Sincerely,

(random name)

(random title)

Примечания[править | править код]

  1. Sean Gallagher. “Locky” crypto-ransomware rides in on malicious Word document macro (англ.). Ars Technica (17 февраля 2016). Дата обращения: 18 декабря 2019. Архивировано 19 декабря 2019 года.
  2. 1 2 “Locky” ransomware – what you need to know (англ.). Naked Security (17 февраля 2016). Дата обращения: 18 декабря 2019. Архивировано 19 декабря 2019 года.
  3. “Locky” ransomware – what you need to know (англ.). Naked Security (17 февраля 2016). Дата обращения: 18 декабря 2019. Архивировано 19 декабря 2019 года.
  4. Google Переводчик. translate.google.com. Дата обращения: 18 декабря 2019.
  5. Locky Ransomware Information, Help Guide, and FAQ (англ.). BleepingComputer. Дата обращения: 18 декабря 2019. Архивировано 17 января 2020 года.
  6. Malware-Traffic-Analysis.net - 2016-12-23 - Afraidgate Rig-V from 81.177.140.7 sends "Osiris" variant Locky. www.malware-traffic-analysis.net. Дата обращения: 18 декабря 2019. Архивировано 18 декабря 2019 года.
  7. Locky Ransomware switches to Egyptian Mythology with the Osiris Extension (англ.). BleepingComputer. Дата обращения: 18 декабря 2019. Архивировано 19 ноября 2020 года.
  8. Locky Ransomware Distributed Via DOCM Attachments in Latest Email Campaigns (англ.). FireEye. Дата обращения: 18 декабря 2019. Архивировано 19 декабря 2019 года.
  9. Locky Ransomware Now Embedded in Javascript (англ.). Cyren. Дата обращения: 18 декабря 2019. Архивировано 30 декабря 2019 года.
  10. What is Locky Ransomware? (англ.). What is Locky Ransomware?. Дата обращения: 18 декабря 2019. Архивировано 19 декабря 2019 года.
  11. Google Trends. Google Trends. Дата обращения: 18 декабря 2019. Архивировано 10 февраля 2017 года.
  12. Hollywood hospital pays $17,000 in bitcoin to hackers; FBI investigating (англ.). Los Angeles Times (18 февраля 2016). Дата обращения: 18 декабря 2019. Архивировано 23 декабря 2019 года.
  13. Microsoft устроила атаку на ботнет Necurs. Дата обращения: 21 марта 2020. Архивировано 21 марта 2020 года.
Источник — https://ru.wikipedia.org/w/index.php?title=Locky&oldid=122269069