Locky под маской «Гербалайф»

Зловред-шифровальщик Locky, признанный самым популярным вымогательским ПО 2016, а затем внезапно почти исчезнувший в начале 2017, явно не ушел на покой. После паузы в несколько месяцев он возвращается, причем эти возвращения раз от раза становятся все более опасными и массовыми. Специалисты компании Barracuda Networks сообщили о мощном всплеске рассылок вредоносных сообщений электронной почты, содержащих варианты Locky во вложениях. Защитными решениями Barracuda Networks заблокированы уже свыше 27 миллионов подобных сообщений.

Нынешнюю волну отличает несколько характерных признаков. Прежде всего, распространяемые варианты Locky имеют единый идентификатор для всех жертв. Обычно этот идентификатор является уникальным для каждого инфицированного устройства. Это позволяет «добросовестным» киберпреступникам выслать жертве ключ расшифровки после уплаты выкупа. Единый идентификатор для всех жертв означает, что хакеры даже при всем желании не смогут разблокировать файлы зашифрованного Locky устройства. Другая особенность состоит в том, что за короткий период времени исследователи Barracuda Networks выявили уже порядка 6 тысяч вариантов Locky, отличающихся незначительными изменениями кода. По мнению одного из ведущих специалистов Barracuda Networks Юджина Вейса, организаторам нынешней волны атак удалось автоматизировать не только процессы рассылки большого числа сообщений, но и процессы внесения несущественных изменений в код зловреда. Последнее делается, очевидно, в попытке обмануть защитные решения.

Значительные объемы вредоносных сообщений рассылаются из Индии, Греции, Турции и Колумбии. Однако львиная их доля приходится на Вьетнам. Вьетнамское происхождение атак подтверждает и еще одно обстоятельство: в теме вредоносных сообщений очень часто фигурирует упоминание «Гербалайф». Этот бренд, давно переживший пик свой популярности во многих странах, по-прежнему имеет чрезвычайно крепкие позиции именно во Вьетнаме.