Возрожденный троян-хит по ошибке ломает старые Windows

 

Несостоявшийся троян-наследник

Печально известный ботнет Necurs запустил новую, необычайно
интенсивную волну распространения шифровальщика Locky. Этот троян занимал одно
из первых мест по интенсивности в 2016 г., но позже на какое-то время перестал
считаться наиболее актуальной угрозой. В мае 2017 г. ботнет Necurs перестал
распространять его вовсе. Сейчас началась новая волна, но что более всего неожиданно,
новая версия шифровальщика не способна работать на операционных системах старше
Windows Vista.

Одно из наиболее вероятных объяснений нежданному возвращению
заключается в том, что операторы Necurs предпочли переключиться на более новый
и казавшийся более совершенным шифровальщик Jaff. По-видимому, Locky, Jaff и
Necurs являются плодами деятельности одной и той же киберпреступной
группировки.

Locky опасен в первую очередь тем, что его алгоритм
шифрования чрезвычайно устойчив. Исследователи, как ни старались, не смогли
найти в нем слабых мест.

Шифровальщик Locky вернулся и по ошибке атакует только пользователей старых версий Windows

А вот в Jaff уязвимое место нашлось, и «Лаборатория
Касперского» быстро выпустила инструменты для расшифровки.

Не ждали?

Вероятнее всего, сами создатели Jaff были озадачены таким
поворотом. И попытались вернуться к Locky, благо зашифрованные им файлы
невозможно расшифровать.

Однако злоумышленники сделали ряд ошибок. Когда снова
поднялись волны спама, содержащего Locky, это отметили многие исследователи
безопасности; и у всех возникла своеобразная проблема: Locky не работал на
тестовых системах. Причину удалось установить специалистам из Talos: система
Data Execution Prevention (DEP), реализованная во всех операционных системах
Windows старше Windows 7, блокирует работу распаковщика Locky, так что он не
может запуститься.

«Это вряд ли надолго, — считает Георгий Лагода, генеральный директор компании SEC-Consult Services.
— По всей видимости, злоумышленники скоро осознают ошибку и постараются ее исправить.
Так что пройдет лишь несколько дней, и Locky снова станет весьма актуальной
угрозой».

Отличия малы, но
существенны

Новый вариант Locky распространяется очень интенсивно: на
него приходятся около 7,2% всего спама в интернете. Новая версия крайне мало
отличается от предыдущих — то же расширение зашифрованных файлов, та же URL-структура
командных серверов.

Однако кое-что поменялось: например, Locky стал использовать
новый метод запуска двоичных файлов. Также сменились типичные заголовки и
содержание почтовых сообщений, во вложении которых находится вредонос, хотя они
по-прежнему представляются счетами, финансовыми уведомлениями, подтверждениями
заказов и так далее. Кроме того, вложения теперь дважды заархивированы: в файле
с расширением ZIP находится еще один такой архив, а уже в том — исполняемый
файл.

В довершение всего, новая версия еще и снабжена средствами
обнаружения виртуальных машин и защиты от попыток анализа кода, из-за чего
исследователи далеко не сразу смогли понять, что с этим вредоносом не так.

21:03 23/06/2017