Вымогатель LokiLocker наказывает неплательщиков, стирая их файлы

Вымогатель LokiLocker наказывает неплательщиков, стирая их файлы

Специалисты BlackBerry изучили LokiLocker — шифровальщика для Windows, предоставляемого в пользование в качестве услуги (Ransomware-as-a-Service, RaaS). Исследование подтвердило, что зловред обладает функциями вайпера, которые он пускает в ход, когда оператор выберет соответствующую опцию.

В рамках этой функциональности LokiLocker стирает все несистемные файлы и перезаписывает MBR на диске, а также пытается вызвать «синий экран смерти» (BSoD). Созданный на основе вредоноса RaaS-сервис работает с ограниченным доступом: воспользоваться им могут только проверенные лица — таких партнеров на настоящий момент выявлено около 30.

Активность LokiLocker (не путать с шифровальщиком Locky из арсенала Evil Corp и инфостилером LokiBot) ИБ-эксперты наблюдают с августа прошлого года. Зловред похож на LockBit, но назвать его прямым потомком пока никто не отважился.

Ранние версии LokiLocker (видимо, пробные) распространялись через взломанные инструменты брутфорса — PayPal BruteCheck, Spotify BruteChecker, PiaVNP Brute Checker, FPSN Checker. Хакеры обычно используют их для проверки актуальности баз учетных данных и получения доступа к аккаунтам по методу credential stuffing (с помощью списков краденых логинов и паролей).

Проведенный в BlackBerry анализ показал, что для защиты кода авторы написанного на .NET зловреда использовали коммерческий инструмент NETGuard, а для шифрования его файлов — плагин KoiVM. Вредонос умеет прибивать мешающие ему процессы и сервисы, а также отключать Диспетчер задач, отчеты об ошибках Windows, брандмауэр и Microsoft Defender. Более того, жертву лишают всякой возможности вернуть данные — щифровальщик удаляет файлы бэкапа, теневые копии, точки восстановления Windows и тщательно чистит корзину.

Из других IoC примечательны подмена регистрационного окна экрана и появление имени LokiLocker в системном реестре — в записи с информацией о производителе оборудования (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\OEMInformation).

 

Шифрование файлов осуществляется с использованием AES-256 в режиме GCM и RSA-2048 (для защиты ключа AES); поиск нужных объектов проводится путем сканирования локальных и подключенных сетевых дисков. После обработки к имени файла добавляется новое расширение — чаще всего .Loki.

Папки с зашифрованными файлами переименовываются, в каждой создается файл с требованием выкупа (обычно Restore-My-Files.txt или info.hta). В этом сообщении приведены адреса email для связи; жертву также предупреждают: если биткоины не поступят в назначенный срок, все ее файлы будут удалены.

География заражений LokiLocker, по данным BlackBerry, весьма разнообразна, с наибольшей концентрацией таких очагов в Восточной Европе и Азии. Прописку авторов шифровальщика установить не удалось — несмотря на то, что в коде встречаются строки с фразами на безупречном английском языке. Некоторые аффилиаты RaaS-сервиса подключаются из Ирана; эта страна также оказалась единственной в списке исключений, которым шифровальщик, судя по всему, пока не пользуется.

Бесплатного декриптора для данной угрозы не существует, но BlackBerry все равно не советует платить выкуп: он далеко не всегда гарантирует восстановление файлов. К тому же злоумышленники могут не удовлетвориться взломом одной системы и развить свой успех, используя ее как точку входа в сеть.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Повторный отказ заземлить ПДн россиян может стоить WhatsApp 18 млн рублей

Дело в отношении WhatsApp LLC завели в Москве накануне. Мессенджер продолжает собирать данные российских пользователей за пределами страны. Теперь компании грозит от 6 млн рублей до 18 млн рублей.

Заседание назначили на 28 июля, дело рассмотрит Таганский районный суд. Об этом сообщает портал мировых судей Москвы.

Дело возбуждено по протоколу Роскомнадзора, уточняет РИА “Новости”. Речь идет о ч.9 статьи 13.11 Кодекса об административных нарушениях — повторный отказ локализовать данные российских пользователей на территории страны.

Прошлым летом WhatsApp уже заплатил за отказ “заземлить” данные 4 млн рублей. Сейчас “вилка” штрафа — от 6 млн до 18 млн рублей.

То же самое касается музыкального сервиса Spotify и компании Snap (владелец приложения Snapchat). На них завели дела по той же статье КоАП. Каждому грозит штраф до 6 млн рублей.

WhatsApp принадлежит Meta, она признана в России экстремистской. Деятельность компании запрещена, но сам мессенджер под эмбарго не попал. Год назад WhatsApp,Twitter (заблокирована в России) и Facebook (запрещена и заблокирована) оштрафовали на общую сумму в 36 млн рублей.

По закону о персональных данных оператор должен собирать и хранить ПДн россиян на территории страны. Накануне Госдума приняла новый вариант 152-ФЗ, но это норма там остаётся.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru