Відроджений троян помилково ламає старі Windows

23 червня 2017, 15:03 | Технології
фото з InternetUA
Розмір тексту:

Ботнет Necurs знову інтенсивно поширює торішній шифрувальник Locky, в травні 2017 р. майже зниклий з радарів. При цьому виявилося, що нова версія Locky може працювати тільки під WindowsXP і WindowsVista. Швидше за все, зловмисники незабаром виправлять помилку.

Не здійснений троян-спадкоємець.

Сумнозвісний ботнет Necurs запустив нову, надзвичайно інтенсивну хвилю поширення шифрувальника Locky. Цей троян займав одне з перших місць за інтенсивністю в 2016 р. , Але пізніше на якийсь час перестав вважатися найбільш актуальною загрозою. У травні 2017 р. ботнет Necurs перестав поширювати його зовсім. Зараз почалася нова хвиля, але що більш за все несподівано, нова версія шифрувальника не здатна працювати на операційних системах старше Windows Vista.

Одне з найбільш ймовірних пояснень нежданому поверненню полягає в тому, що оператори Necurs вважали за краще переключитися на більш новий і здавався більш досконалим шифрувальник Jaff. Мабуть, Locky, Jaff і Necurs є плодами діяльності однієї і тієї ж кіберзлочинністю угруповання.

Locky небезпечний в першу чергу тим, що його алгоритм шифрування надзвичайно стійкий. Дослідники, як не старалися, не змогли знайти в ньому слабких місць.

А ось в Jaff вразливе місце знайшлося, і «Лабораторія Касперського» швидко випустила інструменти для розшифровки.

Не чекали?.

Найімовірніше, самі творці Jaff були спантеличені таким поворотом. І спробували повернутися до Locky, благо зашифровані їм файли неможливо розшифрувати.

Однак зловмисники зробили ряд помилок. Коли знову піднялися хвилі спаму, що містить Locky, це відзначили багато дослідників безпеки; і у всіх виникла своєрідна проблема: Locky не працював на тестових системах. Причину вдалося встановити фахівцям з Talos: система Data Execution Prevention (DEP), реалізована у всіх операційних системах Windows старше Windows 7, блокує роботу Розпакувальник Locky, так що він не може запуститися.

«Це навряд чи надовго, - вважає Георгій Лагода, генеральний директор компанії SEC-Consult Services. - По всій видимості, зловмисники скоро усвідомлюють помилку і постараються її виправити. Так що пройде лише кілька днів, і Locky знову стане вельми актуальною загрозою ».

Відмінності малі, але істотні.

Новий варіант Locky поширюється дуже інтенсивно: на нього припадають близько 7,2% всього спаму в інтернеті. Нова версія вкрай мало відрізняється від попередніх - то ж розширення зашифрованих файлів, та ж URL-структура командних серверів.

Однак дещо змінилося: наприклад, Locky став використовувати новий метод запуску довічних файлів.

Також змінилися типові заголовки і зміст повідомлень електронної пошти, як додаток до яких знаходиться шкідливий, хоча вони як і раніше видаються рахунками, фінансовими повідомленнями, підтвердженнями замовлень і так далі. Крім того, вкладення тепер двічі заархівовані: в файлі з розширенням ZIP знаходиться ще один такий архів, а вже в тому - виконуваний файл.

На додачу до всього, нова версія ще і забезпечена засобами виявлення віртуальних машин і захисту від спроб аналізу коду, через що дослідники далеко не відразу змогли зрозуміти, що з цим шкідливий не так.




Додати коментар
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введіть вірну відповідь