Русская Википедия:Locky

Locky — сетевой червь и программа-вымогатель денежных средств, атакующая операционные системы Microsoft Windows и Mac OS. Массовое распространение получила в 2016 году. Распространяется с помощью электронной почты (под видом выставленного счета, который требует оплаты) с приложенным документом Microsoft Word, содержащим вредоносные макросы^[1]. Является трояном шифрования, который шифрует файлы зараженных компьютеров. В результате вымогатели пытаются получить выкуп за расшифровку от пользователей зараженных компьютеров.

Метод атаки

Механизм заражения заключается в получении электронного письма с вложенным документом Microsoft Word, содержащий вредоносный код. При открытии файл предлагает пользователю включить макросы для просмотра документа. Включение макросов и открытие документа запускают вирус Locky^[2]. После запуска вируса он загружается в память системы пользователей, шифрует документы в виде файлов hash.locky. Первоначально для зашифрованных файлов использовалось только расширение файла .locky. Впоследствии были использованы другие расширения файлов, в том числе .zepto, .odin, .aesir, .thor и .zzzzz. После шифрования сообщение (отображаемое на рабочем столе пользователя) инструктирует их загрузить браузер Tor и посетить конкретный веб-сайт, предназначенный для преступных целей, для получения дополнительной информации. Веб-сайт содержит инструкции, требующие выплаты от 0,5 до 1 биткойна (по состоянию на ноябрь 2017 года стоимость одного биткойна варьируется от 9 000 до 10 000 долларов США через обмен биткойнов). Поскольку у преступников есть закрытый ключ и удаленные серверы контролируются ими, жертвы мотивированы платить за расшифровку своих файлов^[2][3].

Обновления

22 июня 2016 году компания Necurs выпустила новую версию Locky с новым компонентом загрузчика, который включает несколько методов, позволяющих избежать обнаружения, таких как обнаружение, работает ли он на виртуальной машине или на физической машине, и перемещение кода инструкции^[4].

Со времени выпуска Locky было выпущено множество вариантов, которые использовали различные расширения для зашифрованных файлов. Многие из этих расширений названы в честь богов скандинавской и египетской мифологии. При первом выпуске расширение, используемое для зашифрованных файлов, было .Locky.Другие версии использовали для зашифрованных файлов расширения .zepto, .odin, .shit, .thor, .aesir и .zzzzz. Текущая версия, выпущенная в декабре 2016 года, использует расширение .osiris для зашифрованных файлов^[5].

Распространение

С момента выпуска вымогателей было использовано много разных методов распространения. Эти методы распространения включают в себя наборы эксплойтов^[6], вложения Word и Excel с вредоносными макросами^[7], вложения DOCM^[8] и вложенные JS-вложения^[9].

Шифрование

Locky использует RSA-2048 + AES-128 с режимом ECB для шифрования файлов. Ключи генерируются на стороне сервера, что делает невозможным ручное дешифрование, а Locky Ransomware может шифровать файлы на всех жестких дисках, съемных дисках, сетевых дисках и дисках RAM^[10].

Распространенность

Сообщается, что на 16 февраля 2016 года Locky был разослан около полумиллиона пользователей, и сразу после того, как злоумышленники увеличили их распространение среди миллионов пользователей. Несмотря на более новую версию, данные Google Trend показывают, что инфекции прекратились примерно в июне 2016 года^[11].

Известные инциденты

18 февраля 2016 года Голливудский пресвитерианский медицинский центр заплатил выкуп в размере 17 000 долларов США в виде биткойнов за ключ расшифровки данных пациента^[12].

В апреле 2016 года компьютеры Дартфордского научно-технического колледжа были заражены вирусом. Студент открыл зараженную электронную почту, которая быстро распространила и зашифровала многие школьные файлы. Вирус оставался на компьютере в течение нескольких недель. В конце концов им удалось удалить вирус с помощью функции восстановления системы для всех компьютеров.

Компании Microsoft удалось захватить шесть миллионов доменных имен, используемых ботнетом Necurs^[13].

Пример заражённого сообщения

Dear (random name):

Please find attached our invoice for services rendered and additional disbursements in the above-mentioned matter.

Hoping the above to your satisfaction, we remain

Sincerely,

(random name)

(random title)

Примечания

Шаблон:Примечания

Шаблон:Хакерские атаки 2010-х

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.