Показано с 1 по 1 из 1.

Обнаружен новый способ распространения шифровальщика Locky

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254

    Обнаружен новый способ распространения шифровальщика Locky



    Trend Micro предупредила в воскресенье о новом методе распространения вымогателя Locky. Зловред, нацеленный на организации, доставлялся с помощью файлов Windows script (WSF).

    Еще в мае было замечено, что киберпреступники начали использовать WSF-файлы для распространения шифровальщика Cerber. Так как метод этот является очень эффективным для того, чтобы избежать обнаружения, злоумышленники также начали использовать его для распространения Locky.

    WSF-файлы - текстовые документы, которые содержат код XML, каждый файл может содержать более одного языка сценариев. Исследователи считают, что использование WSF-файлов для распространения зловредов ставит сложную задачу перед антивирусными средствами, так как обычно подобные файлы ими не контролируются. WSF-файлы могут увеличить шансы обхода песочницы и черных списков.

    «Такая методика позволяет обойти антивирусные средства, включая песочницу. Кроме того, использование смешанных скриптовых языков очень затрудняет анализ подобных угроз» - объясняют в Trend Micro.

    «Подобно использованию VBScript и JavaScript, WSF позволяет злоумышленникам загружать любую вредоносную нагрузку. В случае с Locky, файл вымогателя, загруженный с помощью WSF имеет другой хеш. Когда хеш отличается, детектирование с помощью черного списка становится невозможным» - добавляют в Trend Micro.

    В атаках, наблюдаемых Trend Micro в прошлом месяце, злоумышленники выбрали своей целью компаний. WSF-файлы, которые доставляли Locky, были упакованы в ZIP-архивы и прикреплялись к электронным письмам с заголовками: «ежегодный доклад», «выписка из банковского счета», «база данных компании».

    Были разосланы миллионы этих спам-писем, пик приходился на рабочие дни с 9 до 11 часов утра, как раз когда большинство европейских сотрудников начинают свой рабочий день. Спам шел из компьютеров в Сербии, Колумбии и Вьетнаме, затем из Таиланда и Бразилии.

    После заражения компьютера Locky проверяет системный реестр, чтобы определить язык системы и отображает записку с требованием выкупа на этом языке. Этот метод также используется в других вымогателях, например, в Jigsaw, Cryptlock и Reveton.

    Новый вариант Locky был замечен исследователями на бразильском сайте киберпреступников, но он также открыто распространяется в Facebook.

  2. olejah получил(а) благодарность за это сообщение от


  3. Реклама
     

Похожие темы

  1. У шифровальщика Locky появился последователь
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 05.07.2016, 09:00
  2. Ответов: 0
    Последнее сообщение: 25.02.2016, 12:20
  3. Ответов: 0
    Последнее сообщение: 08.07.2014, 16:50
  4. Зафиксирован новый способ распространения трояна Zeus
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 01.12.2009, 21:06
  5. Обнаружен новый способ доступа к данным на зашифрованных дисках
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 6
    Последнее сообщение: 04.03.2008, 06:34

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00505 seconds with 18 queries