USD 67.52 ЕВРО 76.09

Новая версия программы – вымогателя Locky может работать в режиме оффлайн

Экономика

Программа может начать шифровать файлы даже без наличия связи с сервером, с которого ею управляют.
Создатели Locky добавили запасной механизм на случай, когда вредоносная программа не сможет связаться с управляющим сервером.
Специалисты антивирусного вендора Avira обнаружили новый вариант вредоносной программы, которая начинала шифровать файлы даже в ситуации, когда не могла запросить уникальный ключ для шифрования с сервера, поскольку компьютер находится в оффлайне или брандмауэр блокирует связь.

Обращение к серверу очень важно для программ-вымогателей, которые используют криптографию с открытым ключом. Фактически, такие программы, в случае невозможности отправить отчет об инфицировании компьютера, не начинают шифрование файлов.
Это происходит потому что процедура шифрования зависит от уникальной пары публичного – частного ключа, которую генерирует сервер злоумышленника для каждого компьютера.
Сначала программа генерирует симметричный ключ шифрования и использует алгоритм типа AES (Advanced Encryption Standard) для шифрования файлов. Затем она связывается с командным сервером и просит его создать пару ключей RSA для только что инфицированного компьютера.

Публичный ключ отправляется обратно программе-шифровальщику и используется для шифрования AES ключ шифрования. Частный ключ необходим для дешифрования того, что публичный ключ зашифровал, и он всегда остается на сервере злоумышленника, а его получает пользователь только после оплаты выкупа.
Поэтому некоторые программы-вымогатели могут быть неэффективными, если брандмауэр обнаруживает такую связь и блокирует ее попытки в самом начале.
Компании могут быстро отрезать инфицированный компьютер от интернета, если вредоносная программа была обнаружена, для сокращения ущерба. Также они могут всю сеть временно вывести оффлайн и провести расследование с целью выявления возможных заражений.

Но все это не даст результатов с новой версией Locky, наиболее распространенной программой-вымогателем, поскольку в нее были внесены изменения.
Хорошей новостью в данной ситуации можно считать тот факт, что Locky начинает шифрование с ключом, который одинаков для всех компьютеров, находящихся в офлайн. Это означает, что если кто-то заплатил выкуп и получил частный ключ, то им можно дешифровать все остальные компьютеры.

Специалисты компании F-Secure изучили две массовые спамовые рассылки вредоносной программы Locky на этой неделе, одна из которых достигала 120,000 спам-хитов в час, что в 200 раз выше чем в обычный день.
Обе компании распространяли архив с вредоносными файлами с JavaScript. В последние месяцы это стало предпочитаемым методом работы преступников. Эти файлы могут сразу выполняться без специального ПО.