Locky вернулся

Сразу несколько компаний и исследователей, специализирующихся в области кибербезопасности, сообщили о массированных атаках шифровальщика Locky. Этот опасный зловред стал самым популярным у киберпреступников вымогательским ПО в 2016 году, однако в начале нынешнего года практически исчез с радаров. Высказывались предположения, что его создатели могли быть арестованы правоохранительными органами. Но если это и так, то у них определенно нашлись «наследники». Всего за одну неделю в августе обнаружились сразу две новых версии Locky.

О первой из них сообщил 9 августа исследователь под ником Racco42. Она получила название Diablo6 – по имени расширения .diablo6, присваиваемого программой зашифрованным файлам. За расшифровку заблокированных файлов зловред требует 49 биткоинов (порядка 1600 долларов). А уже 16 августа аналитики Malwarebytes нашли еще одну версию Locky, названную Lukitus – также по расширению зашифрованных файлов. Обе разновидности распространяются в спам-сообщениях, число которых позволяет предположить использование ботнета. Так, защитными решениями Comodo Group только 9-11 августа было обнаружено свыше 62 тысяч писем, содержавших Diablo6 во вложениях. Отправлены они были более чем с 11600 различных IP-адресов в 133 странах мира. Исследователи Malwarebytes также сообщили, что и Diablo6, и Lukitus распространяются через ботнет Necurs.

Статистики распространения Lukitus пока нет, что же касается Diablo6, то чаще всего сообщения, содержавшие этот зловред, отправлялись, по данным Fortinet, пользователям в США (37 процентов всех случаев) и Австрии (36 процентов). Далее следуют Великобритания, Дания и Индия. Пользователям следует проявить максимальную осторожность в отношении писем от неизвестных отправителей, поскольку средств расшифровки заблокированных Locky файлов по-прежнему не существует.