Фахівці двох ІБ-компаній незалежно одна від одної виявили масштабні шкідливі кампанії по поширенню двох різних, абсолютно нових зразків колись популярного у кіберзлочинців здирницькі ПО Locky.

Як повідомляють дослідники з AppRiver, 28 серпня поточного року за 24 години користувачі в США отримали 23 млн шкідливих листів. Дана кампанія є однією з найбільш масштабних у другій половині 2017 року. З метою обдурити користувачів зловмисники вказували в темі фішингових листів такі слова, як «документи», «будь ласка, роздрукуйте», «фотографії», «скани», «зображення» і «картинки».

Фішингові листи містили шкідливий ZIP-архів з VBS-файлом. Коли користувач відкривав його, VBS-файл запускав завантажувач, який в свою чергу завантажував нову версію Locky під назвою Lukitus. Шкідливий шифрував всі файли на зараженому комп'ютері, додаючи до них розширення. lukitus. На екрані з'являлося повідомлення з інструкцією по установці браузера Tor. Після установки браузера жертва повинна була зайти на сайт злочинців і отримати подальші вказівки щодо сплати викупу за розшифровку своїх файлів. Розмір викупу становив 0,5 біткойнов (близько $ 2,3 тис. В даний час інструменту для відновлення файлів без сплати викупу не існує.

Дослідники з Comodo Labs виявили іншу масштабну кампанію, що мала місце на початку серпня. За три дні зловмисники розіслали 62 тис. спам-листів, що поширюють новий варіант Locky під назвою IKARUSdilapidated. Листи були розіслані з 11 625 IP-адрес в 133 країнах світу, що явно вказує на використання ботнету. За відновлення файлів шифрувальник вимагав від 0,5 до 1 біткойнов.