Ботнет Necurs распространяет вымогателя Locky через «счета-фактуры»

Олег Иванов 23 Июня 2017 - 09:02

Домашние пользователи

Малый и средний бизнес

...

Спам-ботнет Necurs, по сообщениям исследователей безопасности Cisco Talos, снова стал распространять вымогатель Locky. Для этого злоумышленники используют письма, замаскированные под счета-фактуры.

В прошлом году Necurs был основным источником распространения Locky и способствовал его лидерству на рынке вымогателей. В мае ботнет переключился на распространения другого вымогателя – Jaff. Как утверждают эксперты, Locky и Jaff тесно связаны.

Ранее в этом месяце эксперты Лаборатории Касперского обнаружили уязвимости в Jaff и сумели создать дешифратор, что позволило жертвам бесплатно восстановить свои данные.

По-видимому, появление дешифратора поспособствовало тому, что Jaff исчез с рынка вымогателей, поэтому Necurs снова переключился на Locky. Письма, распространяющие этого вымогателя, содержат двойной архив с файлом .exe внутри. Ранее они маскировались под подтверждения заказов, квитанции об оплате и бизнес-документы, теперь же выдают себя за счета-фактуры.

Отчет Talos свидетельствует о том, что эта вредоносная кампания характеризуется заметным объемом спама: в течение первого часа на нее приходилось около 7% электронной почты, зарегистрированной одной из систем компании. По словам исследователей, объем уменьшился, но кампания продолжает оставаться активной.

Стоит отметить, что функционал вредоноса претерпел изменения – теперь он не шифрует данные в системах, более поздних, чем Windows XP.

Также эксперты отмечают структуру URL-адреса командного центра (C&C).

«Злоумышленники используют путь /checkupdate как часть структуры URL-адреса. Принцип тот же, что и в прошлой кампании».

Исследователи считают, что авторы шифровальщика в курсе его недостатков, и в скором времени выйдет новая версия, в которой они будут исправлены. Однако на данный момент образец Locky, распространяемый через Necurs, может шифровать только системы Windows XP.

«Кликать по ссылкам в письмах, а также скачивать вложения – довольно рискованное занятие. Пользователи, которые которые не могут прислушаться к этим советам, могут легко стать жертвами вымогательства. Что усугубляет ситуацию, так это то, что оплаченные пользователями выкупы финансируют следующие кампании и атаки злоумышленников. Как всегда, организациям рекомендуется регулярно делать резервные копии своих данных, практиковать восстановление данных и хранить резервные копии в оффлайне» - говорят эксперты.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 15 Декабря 2025 - 09:46

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Microsoft усложнила отказ от Windows 11 для пользователей Windows 10

Microsoft уверяет: «Мы никого не заставляем переходить на Windows 11». Формально — да. Но на практике всё выглядит куда менее однозначно. Например, на компьютерах с Windows 10, которые не подключены к программе расширенных обновлений (ESU), внезапно пропала возможность ставить обновления на паузу.

Как сообщает Windows Latest, на компьютерах с Windows 10, кнопка «Приостановить обновления на 7 дней» просто становится неактивной — серой и некликабельной.

Ситуация выглядит особенно странно, потому что обычно эта опция блокируется только в двух случаях: если пользователь слишком часто пользовался паузой или если администратор запретил это через групповые политики. Здесь же речь идёт об обычных домашних устройствах без ESU — и никаких очевидных причин для блокировки нет.

Почему это важно? Потому что если такой компьютер поддерживает Windows 11, одно неосторожное нажатие на «Загрузить и установить» может запустить обновление до новой версии системы. А дальше — сюрприз: процесс уже нельзя отменить. Кнопка паузы недоступна, отката нет, остаётся только ждать завершения установки.

Один из пользователей Windows Latest отмечает, что в «Дополнительных параметрах» система утверждает, будто лимит паузы обновлений уже исчерпан — хотя он ею не пользовался. Точно такая же ситуация возникает, если обновление до Windows 11 запускается случайно.

На этом странности не заканчиваются. Кнопка «Подключиться к Extended Security Updates», которая раньше находилась под «Проверить наличие обновлений», неожиданно переехала в угол экрана. А на её месте появилось предложение установить Windows 11 версии 25H2.

Формально Microsoft ничего не нарушает: ESU для Windows 10 существует, уязвимости в старой системе действительно накапливаются, а сама программа расширенной поддержки фактически бесплатна. Но выглядит всё это как довольно настойчивый намёк: либо вы переходите на Windows 11, либо живёте без привычного контроля над обновлениями.

Учитывая, что в мире всё ещё около 500 миллионов компьютеров с Windows 10, которые технически готовы к апгрейду, нетрудно представить, что давление будет только усиливаться. И если вы по какой-то причине остаетесь на Windows 10 без ESU, сейчас самое время быть особенно внимательным — одно лишнее нажатие может отправить вас в Windows 11 без права передумать.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »