Interested Article - Locky

Locky — сетевой червь и программа-вымогатель денежных средств, атакующая операционные системы Microsoft Windows и Mac OS . Массовое распространение получила в 2016 году. Распространяется с помощью электронной почты (под видом выставленного счета, который требует оплаты) с приложенным документом Microsoft Word, содержащим вредоносные макросы . Является трояном шифрования, который шифрует файлы зараженных компьютеров. В результате вымогатели пытаются получить выкуп за расшифровку от пользователей зараженных компьютеров.

Метод атаки

Механизм заражения заключается в получении электронного письма с вложенным документом Microsoft Word, содержащий вредоносный код. При открытии файл предлагает пользователю включить макросы для просмотра документа. Включение макросов и открытие документа запускают вирус Locky . После запуска вируса он загружается в память системы пользователей, шифрует документы в виде файлов hash.locky. Первоначально для зашифрованных файлов использовалось только расширение файла .locky. Впоследствии были использованы другие расширения файлов, в том числе .zepto, .odin, .aesir, .thor и .zzzzz. После шифрования сообщение (отображаемое на рабочем столе пользователя) инструктирует их загрузить браузер Tor и посетить конкретный веб-сайт, предназначенный для преступных целей, для получения дополнительной информации. Веб-сайт содержит инструкции, требующие выплаты от 0,5 до 1 биткойна (по состоянию на ноябрь 2017 года стоимость одного биткойна варьируется от 9 000 до 10 000 долларов США через обмен биткойнов). Поскольку у преступников есть закрытый ключ и удаленные серверы контролируются ими, жертвы мотивированы платить за расшифровку своих файлов .

Обновления

22 июня 2016 году компания Necurs выпустила новую версию Locky с новым компонентом загрузчика, который включает несколько методов, позволяющих избежать обнаружения, таких как обнаружение, работает ли он на виртуальной машине или на физической машине, и перемещение кода инструкции .

Со времени выпуска Locky было выпущено множество вариантов, которые использовали различные расширения для зашифрованных файлов. Многие из этих расширений названы в честь богов скандинавской и египетской мифологии. При первом выпуске расширение, используемое для зашифрованных файлов, было .Locky.Другие версии использовали для зашифрованных файлов расширения .zepto, .odin, .shit, .thor, .aesir и .zzzzz. Текущая версия, выпущенная в декабре 2016 года, использует расширение .osiris для зашифрованных файлов .

Распространение

С момента выпуска вымогателей было использовано много разных методов распространения. Эти методы распространения включают в себя наборы эксплойтов , вложения Word и Excel с вредоносными макросами , вложения DOCM и вложенные JS-вложения .

Шифрование

Locky использует RSA-2048 + AES-128 с режимом ECB для шифрования файлов. Ключи генерируются на стороне сервера, что делает невозможным ручное дешифрование, а Locky Ransomware может шифровать файлы на всех жестких дисках, съемных дисках, сетевых дисках и дисках RAM .

Распространенность

Сообщается, что на 16 февраля 2016 года Locky был разослан около полумиллиона пользователей, и сразу после того, как злоумышленники увеличили их распространение среди миллионов пользователей. Несмотря на более новую версию, данные Google Trend показывают, что инфекции прекратились примерно в июне 2016 года .

Известные инциденты

18 февраля 2016 года заплатил выкуп в размере 17 000 долларов США в виде биткойнов за ключ расшифровки данных пациента .

В апреле 2016 года компьютеры были заражены вирусом. Студент открыл зараженную электронную почту, которая быстро распространила и зашифровала многие школьные файлы. Вирус оставался на компьютере в течение нескольких недель. В конце концов им удалось удалить вирус с помощью функции восстановления системы для всех компьютеров.

Компании Microsoft удалось захватить шесть миллионов доменных имен, используемых ботнетом Necurs .

Пример заражённого сообщения

Dear (random name):

Please find attached our invoice for services rendered and additional disbursements in the above-mentioned matter.

Hoping the above to your satisfaction, we remain

Sincerely,

(random name)

(random title)

Примечания

Sean Gallagher. (англ.) . Ars Technica (17 февраля 2016). Дата обращения: 18 декабря 2019. 19 декабря 2019 года.
↑ (англ.) . Naked Security (17 февраля 2016). Дата обращения: 18 декабря 2019. 19 декабря 2019 года.
(англ.) . Naked Security (17 февраля 2016). Дата обращения: 18 декабря 2019. 19 декабря 2019 года.
. translate.google.com. Дата обращения: 18 декабря 2019.
(англ.) . BleepingComputer. Дата обращения: 18 декабря 2019. 17 января 2020 года.
. www.malware-traffic-analysis.net. Дата обращения: 18 декабря 2019. 18 декабря 2019 года.
(англ.) . BleepingComputer. Дата обращения: 18 декабря 2019. 19 ноября 2020 года.
(англ.) . FireEye. Дата обращения: 18 декабря 2019. 19 декабря 2019 года.
(англ.) . Cyren. Дата обращения: 18 декабря 2019. 30 декабря 2019 года.
(англ.) . What is Locky Ransomware?. Дата обращения: 18 декабря 2019. 19 декабря 2019 года.
. Google Trends. Дата обращения: 18 декабря 2019. 10 февраля 2017 года.
(англ.) . Los Angeles Times (18 февраля 2016). Дата обращения: 18 декабря 2019. 23 декабря 2019 года.
. Дата обращения: 21 марта 2020. 21 марта 2020 года.

[1] Sean Gallagher. (англ.) . Ars Technica (17 февраля 2016). Дата обращения: 18 декабря 2019. 19 декабря 2019 года.

[автоссылка1-2] (англ.) . Naked Security (17 февраля 2016). Дата обращения: 18 декабря 2019. 19 декабря 2019 года.

[3] (англ.) . Naked Security (17 февраля 2016). Дата обращения: 18 декабря 2019. 19 декабря 2019 года.

[4] . translate.google.com. Дата обращения: 18 декабря 2019.

[5] (англ.) . BleepingComputer. Дата обращения: 18 декабря 2019. 17 января 2020 года.

[6] . www.malware-traffic-analysis.net. Дата обращения: 18 декабря 2019. 18 декабря 2019 года.

[7] (англ.) . BleepingComputer. Дата обращения: 18 декабря 2019. 19 ноября 2020 года.

[8] (англ.) . FireEye. Дата обращения: 18 декабря 2019. 19 декабря 2019 года.

[9] (англ.) . Cyren. Дата обращения: 18 декабря 2019. 30 декабря 2019 года.

[10] (англ.) . What is Locky Ransomware?. Дата обращения: 18 декабря 2019. 19 декабря 2019 года.

[11] . Google Trends. Дата обращения: 18 декабря 2019. 10 февраля 2017 года.

[12] (англ.) . Los Angeles Times (18 февраля 2016). Дата обращения: 18 декабря 2019. 23 декабря 2019 года.

[13] . Дата обращения: 21 марта 2020. 21 марта 2020 года.

Хакерские атаки 2010-х
Крупнейшие атаки	Взлом и отключение PlayStation Network Icefog Операция «Red October» Snapchat Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец Атака шифровальщика WannaCry Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Evil Corp Fancy Bear LulzSec Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Ирана
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) (OSX, 2014) (Windows, 2015) (Android, 2015) (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue ( SMBv1 , 2017) DoublePulsar (2017) KRACK (2017) (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT
2000-е 2010-е 2020-е