Локки

Локки
Локки
Псевдоним	Выкуп: Win32/Locky.A ( Microsoft ) ; Троян.Encoder.3976 ( Dr.Web ) ; Win32/Filecoder.Locky.A ( ESET ) ; Malicious_Behavior.VEX.99 ( Fortinet ) ; Троян.Win32.Filecoder (Икарус) ; Trojan-Ransom.Win32.Locky.d ( Лаборатория Касперского ) ; Trojan.Cryptolocker.AF ( Symantec ) ; Ransom_LOCKY.A ( Trend Micro ) ;
Тип	Троян
Подтип	программы-вымогатели
Авторы	Некурс

Locky — это вредоносная программа-вымогатель, выпущенная в 2016 году. Она доставляется по электронной почте (предположительно, это счет, требующий оплаты) с прикрепленным документом Microsoft Word , содержащим вредоносные макросы . ^{[ 1 ]} Когда пользователь открывает документ, он кажется полным тарабарщины и включает фразу «Включить макрос, если кодировка данных неверна» — метод социальной инженерии . Если пользователь включает макросы, он сохраняет и запускает двоичный файл, который загружает настоящий троян-шифровальщик, который зашифрует все файлы, соответствующие определенным расширениям. Имена файлов преобразуются в уникальную комбинацию из 16 букв и цифр. Первоначально для этих зашифрованных файлов использовалось только расширение .locky. Впоследствии стали использоваться другие расширения файлов, включая .zepto, .odin, .aesir, .thor и .zzzzz. После шифрования сообщение (отображаемое на рабочем столе пользователя) предлагает ему загрузить браузер Tor и посетить определенный преступный веб-сайт для получения дополнительной информации.

На веб-сайте содержатся инструкции, требующие уплаты выкупа в размере от 0,5 до 1 биткойна (по состоянию на ноябрь 2017 года стоимость одного биткойна варьируется от 9 000 до 10 000 долларов США на бирже биткойнов ). Поскольку преступники обладают секретным ключом и удаленные серверы контролируются ими, жертвы мотивированы платить за расшифровку своих файлов. ^{[ 2 ]}^{[ 3 ]}^{[ 4 ]} Криптовалюты очень сложно отследить, и они очень портативны. ^{[ 5 ]}

Операция

Наиболее распространенный механизм заражения включает получение электронного письма с вложенным документом Microsoft Word, содержащим код. Документ представляет собой тарабарщину и предлагает пользователю включить макросы для просмотра документа. Включение макроса и открытие документа запускают вирус Locky. ^{[ 6 ]} После запуска вирус загружается в память системы пользователя, шифрует документы в виде файлов hash.locky, устанавливает файлы .bmp и .txt и может шифровать сетевые файлы, к которым имеет доступ пользователь. ^{[ 7 ]} Этот путь отличается от пути большинства программ-вымогателей, поскольку для распространения он использует макросы и вложения, а не устанавливается с помощью трояна или использует предыдущий эксплойт. ^{[ 8 ]}

Обновления

22 июня 2016 года Necurs выпустила новую версию Locky с новым компонентом-загрузчиком, который включает в себя несколько методов предотвращения обнаружения , таких как определение того, работает ли он на виртуальной машине или на физической машине, а также перемещение кода инструкций. ^{[ 9 ]}

С момента выпуска Locky было выпущено множество вариантов, в которых использовались разные расширения для зашифрованных файлов. Многие из этих расширений названы в честь богов скандинавской и египетской мифологии. При первом выпуске для зашифрованных файлов использовалось расширение .Locky. В других версиях для зашифрованных файлов использовались расширения .zepto, .odin, .shit, .thor, .aesir и .zzzz. Текущая версия, выпущенная в декабре 2016 года, использует расширение .osiris для зашифрованных файлов. ^{[ 10 ]}

Методы распространения

С момента выпуска программы-вымогателя использовалось множество различных методов распространения Locky. Эти методы распространения включают в себя наборы эксплойтов, ^{[ 11 ]} Вложения Word и Excel с вредоносными макросами, ^{[ 12 ]} вложения DOCM, ^{[ 13 ]} и заархивированные вложения JS. ^{[ 14 ]}

По общему мнению экспертов по безопасности, защита от программ-вымогателей, включая Locky, заключается в обновлении установленных программ и открытии вложений только от известных отправителей.

Шифрование

Locky использует шифр RSA-2048 + AES-128 с режимом ECB для шифрования файлов. Ключи генерируются на стороне сервера, что делает невозможным расшифровку вручную, а программа-вымогатель Locky может шифровать файлы на всех фиксированных, съемных дисках, сетевых и RAM-дисках. ^{[ 15 ]}

Распространенность

Сообщается, что Locky был разослан примерно полумиллиону пользователей 16 февраля 2016 года, а за период сразу после того, как злоумышленники увеличили свое распространение до миллионов пользователей. ^{[ 16 ]} Несмотря на более новую версию, данные Google Trend показывают, что количество случаев заражения снизилось примерно в июне 2016 года. ^{[ 17 ]}

Известные инциденты

18 февраля 2016 года Голливудский пресвитерианский медицинский центр заплатил выкуп в размере 17 000 долларов в биткойнах за ключ расшифровки данных пациентов. ^{[ 18 ]} Больница была заражена при доставке вложения к электронной почте, замаскированного под счет Microsoft Word. ^{[ 19 ]} Это привело к росту страха и знаний о программах-вымогателях в целом и снова привлекло внимание общественности к программам-вымогателям. Похоже, что существует тенденция использования программ-вымогателей для атак на больницы, и она, похоже, растет. ^{[ 20 ]}

31 мая Necurs бездействовал, возможно, из-за сбоя на командном сервере. ^{[ нужна ссылка ]}^{[ оригинальное исследование? ]} По данным Softpedia стало меньше , спам-сообщений Locky или Dridex с прикрепленными к ним . Однако 22 июня MalwareTech Necurs обнаружила, что боты постоянно опрашивали DGA , пока командный сервер не ответил ответом с цифровой подписью . Это означало, что Некурс больше не дремлет. Группа киберпреступников также начала рассылать очень большое количество спам-писем с прикрепленными к ним новыми и улучшенными версиями Locky и Dridex, а также новым сообщением и заархивированным кодом JavaScript в электронных письмах. ^{[ 9 ]}^{[ 21 ]}

Весной 2016 года Дартфордской гимназии и Дартфордского научно-технологического колледжа вирусом были заражены компьютеры . В обеих школах ученик открыл зараженное электронное письмо, которое быстро распространило и зашифровало множество школьных файлов. Вирус оставался на компьютере несколько недель. В конце концов им удалось удалить вирус с помощью функции восстановления системы на всех компьютерах.

Вектор спама

Пример сообщения с вложением Locky выглядит следующим образом:

Дорогой (случайное имя):

Прилагаем наш счет за оказанные услуги и дополнительные выплаты по вышеуказанному вопросу.

Надеемся, что вышеизложенное вас удовлетворит, мы остаемся

Искренне,

(случайное имя)

(случайное название)

Ссылки

^ Шон Галлахер (17 февраля 2016 г.). « Программа-вымогатель «Locky» внедряется в вредоносный макрос документа Word» . арстехника.
^ «locky-вымогатель-что-вам-нужно знать» . Проверено 26 июля 2016 г.
^ «блокирующий вымогатель» . 6 апреля 2016 года . Проверено 26 июля 2016 г.
^ «Locky Ransomware: как эта вредоносная угроза развилась всего за 12 месяцев» . ЗДНЕТ . Проверено 22 июня 2023 г.
^ Райан, Мэтью (24 февраля 2021 г.). Революция программ-вымогателей: рост огромной киберугрозы . Спрингер Природа. ISBN 978-3-030-66583-8 .
^ Пол Даклин (17 февраля 2016 г.). «Locky-вымогатель: что вам нужно знать» . Голая охрана.
^ Кевин Бомонт (17 февраля 2016 г.). «Вирус-вымогатель Locky, распространяющийся через документы Word» .
^ Кришнан, Ракеш. «Как простое открытие документа MS Word может захватить каждый файл в вашей системе» . Проверено 30 ноября 2016 г. .
^ Jump up to: ^а ^б Весна, Том (23 июня 2016 г.). «Ботнет Necurs вернулся, обновленный более умным вариантом Locky» . ЗАО «Лаборатория Касперского» . Проверено 27 июня 2016 г.
^ «Информация о программе-вымогателе Locky, Справочное руководство и часто задаваемые вопросы» . Мигающий компьютер . Проверено 9 мая 2016 г.
^ «AFRAIDGATE RIG-V С 81.177.140.7 ОТПРАВЛЯЕТ ВАРИАНТ БЛОКИРОВКИ «ОСИРИСА»» . Вредоносное ПО-трафик . Проверено 23 декабря 2016 г.
^ Абрамс, Лоуренс. «Locky Ransomware переключается на египетскую мифологию с расширением Osiris» . Мигающий компьютер . Проверено 5 декабря 2016 г.
^ «Программа-вымогатель Locky, распространяемая через вложения DOCM в последних кампаниях по электронной почте» . Огненный Глаз . Проверено 17 августа 2016 г.
^ «Программа-вымогатель Locky теперь встроена в Javascript» . Огненный Глаз . Проверено 21 июля 2016 г.
^ «Локовый вирус-вымогатель» . Проверено 8 сентября 2017 г.
^ «локальные угрозы-вымогатели» . Архивировано из оригинала 28 августа 2016 года . Проверено 26 июля 2016 г.
^ «Гугл Тренды» . Гугл Тренды . Проверено 14 августа 2016 г.
^ Ричард Винтон (18 февраля 2016 г.). «Голливудская больница выплатила хакерам 17 000 биткойнов; расследование ведет ФБР» . Лос-Анджелес Таймс .
^ Джессика Дэвис (26 февраля 2016 г.). «Встречайте самую свежую угрозу кибербезопасности: Locky» . Новости ИТ в сфере здравоохранения.
^ Кришнан, Ракеш. «Атаки программ-вымогателей на больницы подвергают пациентов риску» . Проверено 30 ноября 2016 г. .
^ Леб, Ларри. «Ботнет Necurs возвращается из мертвых» . Разведка безопасности . Проверено 27 июня 2016 г.

[Gallagher-1] Шон Галлахер (17 февраля 2016 г.). « Программа-вымогатель «Locky» внедряется в вредоносный макрос документа Word» . арстехника.

[2] «locky-вымогатель-что-вам-нужно знать» . Проверено 26 июля 2016 г.

[3] «блокирующий вымогатель» . 6 апреля 2016 года . Проверено 26 июля 2016 г.

[4] «Locky Ransomware: как эта вредоносная угроза развилась всего за 12 месяцев» . ЗДНЕТ . Проверено 22 июня 2023 г.

[5] Райан, Мэтью (24 февраля 2021 г.). Революция программ-вымогателей: рост огромной киберугрозы . Спрингер Природа. ISBN 978-3-030-66583-8 .

[Ducklin-6] Пол Даклин (17 февраля 2016 г.). «Locky-вымогатель: что вам нужно знать» . Голая охрана.

[Beaumont-7] Кевин Бомонт (17 февраля 2016 г.). «Вирус-вымогатель Locky, распространяющийся через документы Word» .

[8] Кришнан, Ракеш. «Как простое открытие документа MS Word может захватить каждый файл в вашей системе» . Проверено 30 ноября 2016 г. .

[Threatpost-9] Jump up to: ^а ^б Весна, Том (23 июня 2016 г.). «Ботнет Necurs вернулся, обновленный более умным вариантом Locky» . ЗАО «Лаборатория Касперского» . Проверено 27 июня 2016 г.

[BleepingComputer-10] «Информация о программе-вымогателе Locky, Справочное руководство и часто задаваемые вопросы» . Мигающий компьютер . Проверено 9 мая 2016 г.

[11] «AFRAIDGATE RIG-V С 81.177.140.7 ОТПРАВЛЯЕТ ВАРИАНТ БЛОКИРОВКИ «ОСИРИСА»» . Вредоносное ПО-трафик . Проверено 23 декабря 2016 г.

[12] Абрамс, Лоуренс. «Locky Ransomware переключается на египетскую мифологию с расширением Osiris» . Мигающий компьютер . Проверено 5 декабря 2016 г.

[13] «Программа-вымогатель Locky, распространяемая через вложения DOCM в последних кампаниях по электронной почте» . Огненный Глаз . Проверено 17 августа 2016 г.

[14] «Программа-вымогатель Locky теперь встроена в Javascript» . Огненный Глаз . Проверено 21 июля 2016 г.

[15] «Локовый вирус-вымогатель» . Проверено 8 сентября 2017 г.

[16] «локальные угрозы-вымогатели» . Архивировано из оригинала 28 августа 2016 года . Проверено 26 июля 2016 г.

[17] «Гугл Тренды» . Гугл Тренды . Проверено 14 августа 2016 г.

[Hollywood_Hospital-18] Ричард Винтон (18 февраля 2016 г.). «Голливудская больница выплатила хакерам 17 000 биткойнов; расследование ведет ФБР» . Лос-Анджелес Таймс .

[Davis-19] Джессика Дэвис (26 февраля 2016 г.). «Встречайте самую свежую угрозу кибербезопасности: Locky» . Новости ИТ в сфере здравоохранения.

[20] Кришнан, Ракеш. «Атаки программ-вымогателей на больницы подвергают пациентов риску» . Проверено 30 ноября 2016 г. .

[SecurityIntelligence-21] Леб, Ларри. «Ботнет Necurs возвращается из мертвых» . Разведка безопасности . Проверено 27 июня 2016 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]