События

Locky вернулся, но атакует только системы на базе Windows XP и Vista

Locky вернулся, но атакует только системы на базе Windows XP и Vista

Вымогательское ПО Locky, исчезнувшее с радаров в мае нынешнего года, снова в строю. Эксперты Cisco Talos зафиксировали масштабную кампанию по распространению новой версии шифровальщика, которая осуществляется c помощью спам-ботнета Necurs. Что интересно, вымогатель может шифровать файлы только на компьютерах под управлением устаревших версий Windows - XP и Vista, но не современных редакций ОС.

Как полагают исследователи, оператором ботнета Necurs, вымогателя Locky и его наследника Jaff является одна и та же кибергруппировка. На минувшей неделе специалисты «Лаборатории Касперского» обнаружили ошибку в алгоритме шифрования последнего и разработали инструмент для восстановления файлов, зашифрованных Jaff. После появления декриптора группировка прекратила распространение Jaff, вновь переключившись на Locky, так как экспертам все еще не удалось взломать его алгоритм шифрования.

Авторы Locky так торопились заменить взломанную версию Jaff, что допустили несколько ошибок при разработке новой версии шифровальщика. По словам экспертов Cisco Talos, вымогатель не работает на системах под управлением Windows 7 и выше с функцией предотвращения выполнения данных (Data Execution Prevention, DEP).

Новая версия Locky распространяется в спам-сообщениях, замаскированных под счета-фактуры, платежные квитанции, уведомления о подтверждении заказа и т.д. В отличие от предыдущих кампаний вирусописатели используют новый способ упаковки прикрепленных документов, напоминающий матрешку. Спам-письмо включает ZIP-файл, содержащий еще один архив, в котором, в свою очередь, находится исполняемый файл, запускающий Locky. Кроме того, новый вариант обзавелся защитными функциями, предотвращающими его запуск в виртуальных машинах и в других средах отладки.

Предотвращение выполнения данных (Data Execution Prevention, DEP) – набор программных и аппаратных технологий, позволяющих выполнять дополнительные проверки содержимого памяти и предотвращать запуск вредоносного кода.

Источник

Автор: Сергей Куприянов
22.06.2017 (15:40)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.