Специалисты двух ИБ-компаний независимо друг от друга обнаружили масштабные вредоносные кампании по распространению двух разных, совершенно новых образцов некогда популярного у киберпреступников вымогательского ПО Locky.
Как сообщают исследователи из AppRiver, 28 августа текущего года за 24 часа пользователи в США получили 23 млн вредоносных писем. Данная кампания является одной из наиболее масштабных во второй половине 2017 года. С целью обмануть пользователей злоумышленники указывали в теме фишинговых писем такие слова, как «документы», «пожалуйста, распечатайте», «фотографии», «сканы», «изображения» и «картинки».
Фишинговые письма содержали вредоносный ZIP-архив с VBS-файлом. Когда пользователь открывал его, VBS-файл запускал загрузчик, который в свою очередь загружал новую версию Locky под названием Lukitus. Вредонос шифровал все файлы на зараженном компьютере, добавляя к ним расширение .lukitus. На экране появлялось уведомление с инструкцией по установке браузера Tor. После установки браузера жертва должна была зайти на сайт преступников и получить дальнейшие указания по уплате выкупа за расшифровку своих файлов. Размер выкупа составлял 0,5 биткойна (порядка $2,3 тыс.). В настоящее время инструмента для восстановления файлов без уплаты выкупа не существует.
Исследователи из Comodo Labs обнаружили другую масштабную кампанию, имевшую место в начале августа. За три дня злоумышленники разослали 62 тыс. спам-писем, распространяющих новый вариант Locky под названием IKARUSdilapidated. Письма были разосланы с 11 625 IP-адресов в 133 странах мира, что явно указывает на использование ботнета. За восстановление файлов шифровальщик требовал от 0,5 до 1 биткойна.

Источник: securitylab.ru