Спецпроекты

ПО Безопасность Бизнес Интернет Маркет

Возрожденный троян-хит по ошибке ломает старые Windows

Ботнет Necurs снова интенсивно распространяет прошлогодний шифровальщик Locky, в мае 2017 г. почти исчезнувший с радаров. При этом оказалось, что новая версия Locky может работать только под WindowsXP и WindowsVista. Скорее всего, злоумышленники вскоре исправят ошибку.

Несостоявшийся троян-наследник

Печально известный ботнет Necurs запустил новую, необычайно интенсивную волну распространения шифровальщика Locky. Этот троян занимал одно из первых мест по интенсивности в 2016 г., но позже на какое-то время перестал считаться наиболее актуальной угрозой. В мае 2017 г. ботнет Necurs перестал распространять его вовсе. Сейчас началась новая волна, но что более всего неожиданно, новая версия шифровальщика не способна работать на операционных системах старше Windows Vista.

Одно из наиболее вероятных объяснений нежданному возвращению заключается в том, что операторы Necurs предпочли переключиться на более новый и казавшийся более совершенным шифровальщик Jaff. По-видимому, Locky, Jaff и Necurs являются плодами деятельности одной и той же киберпреступной группировки.

Locky опасен в первую очередь тем, что его алгоритм шифрования чрезвычайно устойчив. Исследователи, как ни старались, не смогли найти в нем слабых мест.

Шифровальщик Locky вернулся и по ошибке атакует только пользователей старых версий Windows

А вот в Jaff уязвимое место нашлось, и «Лаборатория Касперского» быстро выпустила инструменты для расшифровки.

Не ждали?

Вероятнее всего, сами создатели Jaff были озадачены таким поворотом. И попытались вернуться к Locky, благо зашифрованные им файлы невозможно расшифровать.

Однако злоумышленники сделали ряд ошибок. Когда снова поднялись волны спама, содержащего Locky, это отметили многие исследователи безопасности; и у всех возникла своеобразная проблема: Locky не работал на тестовых системах. Причину удалось установить специалистам из Talos: система Data Execution Prevention (DEP), реализованная во всех операционных системах Windows старше Windows 7, блокирует работу распаковщика Locky, так что он не может запуститься.

«Это вряд ли надолго, — считает Георгий Лагода, генеральный директор компании SEC-Consult Services. — По всей видимости, злоумышленники скоро осознают ошибку и постараются ее исправить. Так что пройдет лишь несколько дней, и Locky снова станет весьма актуальной угрозой».

Отличия малы, но существенны

Новый вариант Locky распространяется очень интенсивно: на него приходятся около 7,2% всего спама в интернете. Новая версия крайне мало отличается от предыдущих — то же расширение зашифрованных файлов, та же URL-структура командных серверов.

Однако кое-что поменялось: например, Locky стал использовать новый метод запуска двоичных файлов. Также сменились типичные заголовки и содержание почтовых сообщений, во вложении которых находится вредонос, хотя они по-прежнему представляются счетами, финансовыми уведомлениями, подтверждениями заказов и так далее. Кроме того, вложения теперь дважды заархивированы: в файле с расширением ZIP находится еще один такой архив, а уже в том — исполняемый файл.

В довершение всего, новая версия еще и снабжена средствами обнаружения виртуальных машин и защиты от попыток анализа кода, из-за чего исследователи далеко не сразу смогли понять, что с этим вредоносом не так.

Роман Георгиев

Короткая ссылка