Ботнет Necurs распространяет вымогателя Locky через «счета-фактуры»

Спам-ботнет Necurs, по сообщениям исследователей безопасности Cisco Talos, снова стал распространять вымогатель Locky. Для этого злоумышленники используют письма, замаскированные под счета-фактуры.

В прошлом году Necurs был основным источником распространения Locky и способствовал его лидерству на рынке вымогателей. В мае ботнет переключился на распространения другого вымогателя – Jaff. Как утверждают эксперты, Locky и Jaff тесно связаны.

Ранее в этом месяце эксперты Лаборатории Касперского обнаружили уязвимости в Jaff и сумели создать дешифратор, что позволило жертвам бесплатно восстановить свои данные.

По-видимому, появление дешифратора поспособствовало тому, что Jaff исчез с рынка вымогателей, поэтому Necurs снова переключился на Locky. Письма, распространяющие этого вымогателя, содержат двойной архив с файлом .exe внутри. Ранее они маскировались под подтверждения заказов, квитанции об оплате и бизнес-документы, теперь же выдают себя за счета-фактуры.

Отчет Talos свидетельствует о том, что эта вредоносная кампания характеризуется заметным объемом спама: в течение первого часа на нее приходилось около 7% электронной почты, зарегистрированной одной из систем компании. По словам исследователей, объем уменьшился, но кампания продолжает оставаться активной.

Стоит отметить, что функционал вредоноса претерпел изменения – теперь он не шифрует данные в системах, более поздних, чем Windows XP.

Также эксперты отмечают структуру URL-адреса командного центра (C&C).

«Злоумышленники используют путь /checkupdate как часть структуры URL-адреса. Принцип тот же, что и в прошлой кампании».

Исследователи считают, что авторы шифровальщика в курсе его недостатков, и в скором времени выйдет новая версия, в которой они будут исправлены. Однако на данный момент образец Locky, распространяемый через Necurs, может шифровать только системы Windows XP.

«Кликать по ссылкам в письмах, а также скачивать вложения – довольно рискованное занятие. Пользователи, которые которые не могут прислушаться к этим советам, могут легко стать жертвами вымогательства. Что усугубляет ситуацию, так это то, что оплаченные пользователями выкупы финансируют следующие кампании и атаки злоумышленников. Как всегда, организациям рекомендуется регулярно делать резервные копии своих данных, практиковать восстановление данных и хранить резервные копии в оффлайне» - говорят эксперты.