Отдавна не се бе чувало за организирани атаки с Locky, един от най-успешните криптовируси, получаващ чести обновления и използващ високи нива на криптиране. Причина за затишието беше това, че операторите на ботнета Necurs, чрез който основно се разпространяваше Locky се ориентираха към разпространението на рансъмуер от друго семейство: Jaff. В началото на този месец, специалисти са регистрирали множество на брой координирани атаки, именно с Locky.

Атаките биват провеждане чрез масовото разпращане на писма с прикачен към тях файл, а в заглавната им част се чете обикновено „E [дата] (случайна цифрова поредица).docx“. Приложеният файл е архив, в който се помещава vbs скрипт, при което стартиране се сваля варианта на рансъмуера, който заключва файловете с разширение .diablo6, а исканият откуп е от порядъка на половин биткойн.

Основна част от жертвите на тази нова кампания са в САЩ (39%), Австрия (37%) и Великобритания (10%).

Една от компаниите алармирали за кампанията са Comodo, които регистрират разпращането на няколко десетки хиляди писма за броени дни.

Malwarebytes, друга от компаниите, свидетелстващи за тази нова кампания, регистрира 11 625 IP адреса, идващи от 133 държави, като сред първите пет са Турция, Индия, Мексико, Виетнам и Индонезия. Повечето адреси принадлежат на телекоми и интернет доставчици, което навежда на мисълта, че става дума за инфектирани системи, вкарани в ботнет.

По-рано тази седмица беше забелязан друг вариант на Locky, добавящ към криптиранит файлове .Lukitus като разширение и писма с Emailing – CSI-034183_MB_S_7727518b6bab2 като заглавие.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари