Специалисты компаний Sophos и Palo Alto Networks одновременно сообщили о выявлении нового вируса—шифровальщика Locky, который атакует устройства на базе Windows. По схеме работы шифровальщик напоминает вирус CryptoWall, а вот для распространения злоумышленники используют технику, скопированную у Dridex (банковский троян).
Откуда произошло название вируса
Название вируса происходит от формата .locky, именно такое расширение появляется у зашифрованных файлов. По информации специалистов, новый вирус распространяется со скоростью порядка 100 тысяч заражений в сутки (4 тысячи заражений в час).
Канал распространения вредоносной программы
Основной канал распространения вредоносной программы: почтовый спам. К электронным сообщениям прикрепляются вредоносные документы Word. Для атаки используются вредоносные макросы (аналогично работает троянская программа Dridex). При открытии документы пользователь видит запрос на разрешение запуска макросов. Если пользователь разрешает работу макросов, с управляющего сервера загружается и активируется вирус.
После этого Locky остается только закодировать найденные файлы и установить в качестве обоев рабочего стола собственный рисунок, на котором расположен текст с требованием выкупа. Обычно требуют до 2 биткоинов (800 долларов). Для оплаты выкупа пользователю предлагают загрузить браузер Tor и перейти на сайт злоумышленников.
Последствия попадания вируса Locky
В процессе вредоносной деятельности Locky удаляет все теневые копии (Volume Snapshot Service), чтобы заблокировать возможность восстановления данных при помощи данного инструмента. Троянское приложение также осуществляет попытки распространиться по локальной сети.
Скорость распространения относит данный инцидент к категории очень серьезных. Специалисты Palo Alto Networks зафиксировали более 460 тысяч сессий данной угрозы, свыше половины из них – на территории США. От нового вируса также пострадали пользователи Сербии, Польши, Мексики, Саудовской Аравии, Мали, Хорватии, Голландии, Германии, Австралии и Канады.