Новый криптовымогатель «Locky»

    Исследователями в области информационной безопасности был обнаружен новый тип ransomwave — вредоносной программы, шифрующей пользовательские файлы и требующей выкуп в bitcoin. Новый криптовымогатель, который сами создатели назвали «locky», распространяется не совсем стандартным для подобного ПО способом — при помощи макроса в Word-документах.

    По словам специалиста по информационной безопасности Лоуренса Абрамса, криптовымогатель маскируется под выставленный пользователю счет и приходит жертве по почте:


    Кликабельно

    Прикрепленный файл имеет имя вида invoice_J-17105013.doc, а при его открытии пользователь увидит только фарш из символов и сообщение о том, что «если текст не читабелен, включите макросы».

    image

    При включении макросов начинается загрузка исполняемого файла зловреда с удаленного сервера и его установка на компьютер жертвы.

    image
    Так выглядит вредоносный макрос

    Изначально загруженный файл, из которого и производится дальнейшая установка Locky, хранится в папке %Temp%, однако, после старта шифрования пользовательских данных он удаляется.

    В начале своей работы Locky присваивает жертве уникальный шестнадцатеричный номер и после начинает сканировать все локальные диски, а также скрытые и сетевые папки. Для шифрования пользовательских данных зловред использует AES-шифрование. Под удар подпадают файлы следующих расширений (и только они):

    .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat 
    

    Locky игнорирует файлы, путь в которых содержит следующие элементы:

    tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
    


    При шифровании данных зловред переименовывает файлы по принципу [unique_id] [идентификатор] .locky. В итоге файл test.jpg был переименован в нечто вида F67091F1D24A922B1A7FC27E19A9D9BC.locky.

    Отдельно следует заметить, что Locky шифрует и сетевые диски, поэтому всем системным администраторам следует обратить внимание на политики доступа и максимально ограничить возможности пользователей. Но и это не все. Locky также удаляет все теневые копии файлов, чтобы пользователь не мог восстановить даже то, с чем он недавно работал. Реализовано это следующей командой:

    vssadmin.exe Delete Shadows /All /Quiet
    


    После того, как все, до чего смог дотянуться зловред, зашифровано, он создает на рабочем столе и в каждой папке файл _Locky_recover_instructions.txt, в котором объясняется, жертвой чего стал пользователь, а также инструкции по выкупу своих данных.

    image

    Чтобы пользователь на забывал, что с ним произошло, Locky любезно меняет даже обои рабочего стола на изображение с текстом, дублирующим содержание _Locky_recover_instructions.txt:

    image

    В файле _Locky_recover_instructions.txt содержится ссылка на сайт в Tor-сети (6dtxgqam4crv6rr6.onion) под названием Locky Decrypter Page.

    image

    Там даются четкие указания, как, сколько и куда биткоинов купить и перевести. После оплаты «услуг» пользователю предоставляется ссылка на дешифровщик, который восстановит все данные.

    Другой специалист в области информационной безопасности, Кевин Беумонт так же провел исследование Locky. По его данным, зловред уже получил серьезное распространение и это может быть началом «эпидемии»:

    image

    Для наглядности Кевин визуализировал сетевую активность Locky (каждая точка — зараженная машина):


    Трафик Locky варьируется от 1 до 5 запросов в секунду. Таким образом, к концу сегодняшнего дня, жертвами криптовымогателя могут стать еще до 100 000 компьютеров по всему миру, кроме уже зараженных, что делает Locky беспрецедентным явлением в области кибербезопасности.

    Вчера, по данным Кевина, Locky заражал до 18 000 компьютеров в час, а уже сегодня эта цифра может быть значительно больше. Еще печальнее то, что пока Locky детектится всего 5 антивирусами из 54 протестированных:

    Как говорится, лучшая контрацепция — это воздержание, поэтому пока лучшим способом уберечь себя от Locky является удаление или игнорирование писем от неизвестных адресатов и запрет на выполнение макросов в MS Office.
    ua-hosting.company 287,60
    Хостинг-провайдер: серверы в NL / US до 100 Гбит/с
    Поделиться публикацией
    Комментарии 68
    • +1
      "пока Locky детектится всего 5 антивирусами из 54 протестированных" — исключительно на момент тестирования, https://www.virustotal.com/ru/file/f56655bfbd1be9eab245dc283b7c71991881a845f3caf8fb930f7baabae51059/analysis/ — 23/54 на другом семпле. Надо заметить, что результаты VT без прямой ссылки или хэша файла — плохо.
      • 0
        Значит все уже не так плохо.
        • +2
          С чего бы это? Трой, выпускаемый в дикую природу может не детектиться вообще ничем, абсолютно нормальная ситуация.
          • +2
            Я потерял нить нашей беседы. А, возможно, никогда ее и не видел.
        • +3
          Нет-нет-нет, результаты VT без прямой ссылки или хэша файла — это очень хорошо, потому что это данные на момент проведения атаки.
          А от того, что через два дня образец будет детектироваться 50 антивирусами, никому лучше не становится — все данные к этому моменту уже зашифрованы.
          • +3
            Ага, только что тестировалось никто не знает кроме авторов скриншота. Подтасовать результаты в пользу того или иного вендора — как два пальца об асфальт. К тому же, если посмотрите на ссылку приведенную мной, там указана и дата и время анализа, а кнопочки "повторить анализ" как раз и нет.
            • +1
              Ну здесь остается только верить авторам скриншота. Можно, конечно, воспользоваться archive.org...
              • +1
                Надо просто давать информацию, достаточную для профессионалов: SHA1 файла, например. И тогда всякий вендор сможет добавить детект, вывести нечистоплотных авторов на чистую воду и решить кучу других задач. А простые смертные не смогут по хэшу получить троя и навредить кому либо.
            • –6
              Ну не все, положим. Хотя *.pas файлов будет жалко, но в целом, он мало что шифрует — только мусор всякий.
              • 0
                Потеря .dbf для многих компаний будет равнозначна потере нескольких десятков, если не сотен миллионов рублей. Года до 2005 эти базы данных были чуть ли не самыми популярными в сфере госуслуг и обслуживания промышленности. А вот .h и .java шифровать как раз глупо, так как даже самые отсталые ИТшники используют системы контроля версий, и это будет стрельба по пушкам из воробья.
                • +7
                  amarao как обычно только со свей колокольни судит :) Все зависит от того с чем работает компания, для нас, например, будет сверхкритичной потеря медиафайлов.
            • 0
              Сам файлик (r34f3345g.exe) детектируется многими антивирусами
              • 0
                А откуда уверенность что это тот же файл, что и у автора поста был?
                • 0
                  ссылка с картинки в посте — черный пояс по гуглу — виртуальная машина с виресшарком и процес монитором — вирустотал, а там я узнал что такой файл уже загружали и почитал комментарии (ссылка сверху что я давал) и там уже статейка.

                  Да сайтик у зловреда изменился.
                  image

                  Из статьи так и не понял как они logstalgia прикрутили и с чего каждый запрос это отдельный случай заражения?
            • 0
              Если зараза копируется в %TEMP%, то SRP/Applocker обойти не сможет, да и непрозрачный прокси с аутентификацией создает дополнительный барьер защиты.

              Макрос работает в LibreOffice?
              • 0
                Мне, кстати, всегда было не очень понятно, почему нельзя запихать прямо в макрос все — и шифрование, и отправку данных на C&C-сервер, и вывод сообщения с инструкцией об оплате.
                • 0
                  Слишком жирный макрос получится
                  • 0
                    А разве есть технические ограничения на размер макросов?
                    Потому что писать загрузчик, обходить МЭ, держать управляющий сервер… Все это — такая головная боль должна быть...)
                    • 0
                      Тогда гораздо меньше людей будет скачивать такой документ. Неужели у вас не вызовет подозрение счёт размером в несколько мегабайт ?
                      • 0
                        Это вряд ли.
                        "Если документ отображается некорректно — отключите антивирус и разрешите запуск макросов" — даже такое никаких подозрений не вызывает (пример). Что уж тут о размере файла говорить...))
                        • 0
                          Там не было — отключите антивирус. А то, что пришедший откуда нибудь, например из госучереждения документ не отображается без включенных макросов, уже вполне себе привычно, такое встречается не очень редко.
                  • 0
                    Чтобы свежая версия тащилась и меньше вариантов детекта было?
                    • 0
                      ИМХО, не аргумент:

                      1. загрузчик в базы попадет еще быстрее, чем основной файл;
                      2. обновление вирусу-шифровальщику не нужно.
                    • 0
                      А он не завершится автоматически с закрытием документа?
                  • 0
                    «Как говорится, лучшая контрацепция — это воздержание, поэтому пока лучшим способом уберечь себя от Locky является удаление или игнорирование писем от неизвестных адресатов и запрет на выполнение макросов в MS Office.»

                    Вот вы бы написали ещё, как именно он работает, со всеми расширениями, там же не только exe

                    «Изначально загруженный файл, из которого и производится дальнейшая установка Locky, хранится в папке %Temp%, однако, после старта шифрования пользовательских данных он удаляется. „

                    И как именно корректнее всего настроить GPO для работы с макросами?)
                    • 0
                      Первый вариант, отобрать у пользователей возможность вообще включать макросы: линк.
                      Второй вариант, используя ADMX кастомизировать офис и отключить макросы совсем: линк.
                      • 0
                        Жесткие варианты, но спасибо)
                        • 0
                          Есть еще вариант — запретить выполнение (через gpedit.msc) изо всяких мест вроде temp, за исключением разрешенного софта. Да, это добавит немножко геморроя админам, но позволит определенному юзеру использовать макросы, если они ему действительно необходимы в работе.
                          • 0
                            У нас так и сделано, отключены все макросы, кроме макросов с цифровой подписью и разрешено выполнять макросы только из надежных местоположений (2-3 папки на сервере), надежные местоположения пользователей отключены, то есть действуют только те что заданы политиками.
                      • 0
                        Вот оказывается как эта шляпа называется… За последние три дня ну просто заколебали присылать свои смешные письма, по 30 штук в день сыпется с просьбой открыть их файлы. Хочется уже просто открыть наконец, только чтобы заткнуть чертов почтовый нотификатор о входящих.
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • +1
                            Есть один бухгалтер, которому пришло письмо. В письме прямо пишут, что на файл ругается антивирус, но Вы его отключите и запустит exe файл. В нем Счет. Угу. Бухгалтер продвинутый все сделала. Теперь чешут затылок что с этим всем делать.
                            • +1
                              А чё там чесать-та?))
                              https://geektimes.ru/post/271274/
                              • 0
                                Про случай что я рассказал — глупость и жадность. Жадность полечили поставили антивирус и купили лицензии про глупость разъяснили. Вот только думаю что придет ей вот такое новое решение и все. Благо каспер сейчас уже реагирует на зловред.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                  • +1
                                    на старые версии, которые уже не встретишь в природе
                                    не соглашусь. Тот же зловред из статьи до сих пор рассылается по почте, но шансов у него уже меньше. Да в начале эпидемии антивирусные системы не спасут, но именно они приводят их (эпидемии) к логическому завершению.
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                      • +1
                                        Как пользователь — у меня нет антивирусника и не было. Как специалиста — приходится в начале каждой эпидемии разгребать и беседовать с горе пользователями (кто дома поймал и сглупил, кто в фирме в которой не уделяют должного внимания безопасности) и вот тут как раз надеешься что вот вот сигнатуры попадут в базу и добрая половина будет спать спокойно до следующего аляйса. Да понятно что антивирус не панацея, но утверждать что он не нужен — это тоже неправильно. Он не нужен тем кто понимает что он делает и где он это делает, а так же тем кто способен среагировать в нештатной ситуации. Да и вирусы могут быть запущены не вами, а добрым человеком, что тогда?
                            • +5
                              Единственным запрещающим знаком является бетонная плита посреди дороги. Все остальные — лишь предупреждающие...
                              • 0
                                Бюджетники присылают сметы, которые тыква без макросов. Нефтезавод звал участвовать в строительстве, надо было заполнить форму в экселе, где все на макросах, еще таких случаев точно было несколько штук, такое бывает, что реализовано на макросах и вот в этот момент офис ругается точно так же, мол типа аккуратно, файл может быть с вирусом, все дела… другое дело мы ждали этих писем, но прецендент, меня спросили
                                — Здесь просто разноцветный фон и написано, что надо включить макросы, что делать?
                                — Ну если доверяете файлу, то включите там то.
                                В следующий раз, они точно включат сами, ничего не спрашивая.
                                • 0
                                  Ну и что? Офис любые скачанные файлы открывает в protected view и пишет про вирусы. Первое, что все делают (и я в том числе :( ) — отключают этот голимый режим, ибо работать в нем толком невозможно (даже полосу прокрутки зачем-то убирают по умолчанию).
                                  В общем, очередная история про мальчика, которые кричал "Волки!".
                                • 0
                                  Только что проверил касперским файл, который прилетел пару дней назад, и который я уже отправлял им на анализ.
                                  По-прежнему не детектится.
                                  Что-то они мышей не ловят...
                                  • 0
                                    У девушки на работе все .docx документы были зашифрованы, только вирус не переименовывал файлы, а дописывал в конце расширение .micro
                                    • 0
                                      вчера и сегодня получил подобное письмо
                                      • 0
                                        Ну почему, почему никто не не хочет сделать всего двухшаговую операцию:

                                        1. Запрет (локальными политиками) обычному пользователю писать в папки, откуда что-то запускается (Program Files и т.п.)
                                        2. Запрет запуск чего-бы то ни было из папок, куда пользователю можно писать (temp, папка с профилем и.т.п.)
                                          ВСЁ.
                                        • 0
                                          1. Решается не политиками, а отбиранием у юзера админских прав.
                                          2. Запрет на запуск отовсюду, кроме двух-трех папок: %Windir% и %ProgramFiles +(x86)%
                                          • 0
                                            Вы явно не работаете с ПО созданным в России для гос. компаний. Там нередко только с полным доступом работает
                                            • 0
                                              Любое ПО можно настроить для работы с отграниченными правами. Ознакомьтесь
                                              • +1
                                                Вот смотрите есть ПО для гос. торгов (бухгалтерам нужно). Программа ставится только в %UserProfile%, вопросов не задает, так что запуская под админом установщик она установится в юзерпрофиль администратора, установщик запрашивает привелигированные права — так что ставить из под обычного пользователя в его юзерпрофиль не получается и всегда внезапно появляется обновление программы (так что его даже в распорядок обновлений не включить) и обновление выполняет запуск из Temp скачанного файла установщика. Замкнутый круг почти. И что с таким делать?
                                                • +1
                                                  Любое обновление — только через визит (или radmin) администратора. С прогонкой любого полученного update.exe через 2 различных антивируса (на компе юзера и сервера).
                                                  На вопросы буха "а чё так сложно то всё? вон Люся из "Рога и копыта" сама всё делает..." — отвечать: $800 готовы платить за расшифровку?

                                                  (это всё — если фирма не "однодневка", где требуется долговременная стабильная работа IT)
                                                  • +1
                                                    Так и было сделано, но потом первая рабочая задержка, жалоба директору и директор не вникая в суть пишет указание сделать так, чтоб все работало моментально. Суровая реальность гос. контор.
                                                    • 0
                                                      Нифига. Если гос.контора — значит есть какая-никакая служба безопасности, пойти к ним — обрисовать ситуацию, угрозы. Найти нормативку (которой у безопасности более чем много) — на стол директору: "не могём-с, ибо вот..."
                                                      Используем оружие так сказать, "противника"...
                                                      • +1
                                                        Вот именно, что суровая реальность госконтор позволяет писать бумажки, которые прикрывают тыл. Больше бумаг, чище жопа. Пишите на имя того же директора, так мол и так, сильно вырастает опасность заражения, потому-то потому-то, чтобы повысить безопасность надо то-то и то-то, а если не сделать, то может быть так-то и так-то, что приведет к простоям в любом случае, возможной безвозвратной потере данных и вероятной необходимости выплаты денег мошенникам. Если отказ, то ваш зад прикрыт бумагой, а начальник ССЗБ
                                                        • 0
                                                          Зад, прикрытый бумагой, мне кажется, довольно уязвимым
                                                          • 0
                                                            Заявление в свободной форме. Пишите на гранитных табличках или гравируйте металлические пластины. Боюсь, только, что полная защита зада не поместится на вашем рабочем месте.
                                                            • 0
                                                              Зад бумагой прикрыт, все уже описано, и да, он не чувствует особой защиты в виде бумаги. И безопасников тоже нету. Даже лекцию на эту тему уже проводили. Пользователи не заинтересованы, их позиция простая — даже если все потеряем зарплату все равно будут платить, бюджетники ведь. Впрочем уже год назад понял, что неблагодарное это дело — исправлять там, где всех всё устраивает. Мой планируемый срок подходит к концу.

                                                              P.S. все же, несмотря на то, что пришлось бухгалтерам выключить эту политику, продолжает работать компонент монитора активности в антивирусе касперского. Решение интересное по своей логике, блокируя недовереным приложениям сетевую активность должно тем самым воспрепятствовать связи потенциального шифратора со своим сервером и получению ключа шифрования. Этот комментарий больше относится к тем, кто говорит, что антивирусы бесполезны и на момент эпидемии не содержат сигнатур.
                                                  • 0
                                                    Доступ на запись и запуск ограничивается и для админов тоже. При серьёзном обновлении ПО — временно отключается (автоматизированно, батником)
                                                • +1
                                                  почему люди вообще не сидят в sandbox-ах? (почему это вообще не встроено в винду по умолчанию?)
                                                  Иметь свою голову конечно хорошо но программы в отличии от например опасной бритвы нельзя вот так просто повертеть в руках и оценить их вредоносность.

                                                  Нужно просто сделать как в андройд чтобы у каждого приложения был бы набор «прав» на взаимодействия с теми или иными частями системы. Но не так чтобы он единожды спрашивал перед установкой, а так чтобы это задавалось в настройках самого фаила ( как в линукс с правом запуска) причём именно самим пользователем. Но при этом чтобы программа всё равно могла бы запускаться и работать без дополнительных прав — например:
                                                  при запуске будет создаваться установленное заранее по размеру окно (только одно и будет зависеть от размеров экрана и личных предпочтений пользователя — не больше и не меньше) и будет по умолчанию разрешено чтение и запись (!) но только в ту же папку где установлено само приложение. В идеале само приложение и должно быть папкой. *(точнее система его так должна отображать) с возможностью запуска.
                                                  Способ работы будет примерно такой: например вы скачали программу word с интернета. Она отображается как папка, вы копируете (сам виндовый гуй по умолчанию имеет все права) фаил который хотите редактировать прямо в эту папку. Затем выбираете из контекстового меню запуск этой папки и по умолчанию запускается программа которая в ней (в данном случае word). При попытки выбора в меню word открыть фаил будет стандартное меню windows но в котором будет отображаться ТОЛЬКО содержимое папки word. т.е. word вообще не будет знать о том что папка word не является корнем. Зато в ней он сможет не только читать но и писать, а затем пользователь сможет просто скопировать отредактированный фаил в нужную ему папку.
                                                  Установка программ будет как в macbook простым копированием папки программы.
                                                  И всё. А если ему понадобятся какие то конкретные права пользователь мог бы назначить их в свойствах фаилов. Только самих прав должно быть гораздо больше начиная от разрешения создавать окна на весь экран и заканчивая возможностью управления за вас мышкой и читать\писать\видеть пользовательские фаилы и как бы супер право видеть\редактировать фаилы самой системы.
                                                  • 0
                                                    Могли бы написать просто — chroot или jail.
                                                    Не сработает, слишком много телодвижений.
                                                    • 0
                                                      В новых modern apps под Windows что-то похожее и сделали — песочница с ограниченным доступом к ФС. Осталось дело за малым — дождаться пока все приложения перепишут, хотя бы тот же самый Microsoft Office.
                                                    • +1
                                                      Слушайте, ну чтобы запустить макрос в файле, полученном по электронной почте, в Microsoft Office последних версий надо очень, очень расстараться. Он же костьми ложится, чтобы помешать вам выстрелить себе в коленку.

                                                      А вот админы, которые политиками не запрещают пользователю запускать файлы откуда либо, кроме %SystemDrive%\Windows и %SystemDrive%\Program Files — сами себе злобные Буратины.
                                                      • 0
                                                        Полностью согласен, админ должен быть ленив, но если лень настроить SRP — это за гранью разумного.
                                                      • +1
                                                        Только с утра прочитал статью, как в этот же день пришлось столкнуться с описанным троянцем. Правда, админ потерпевшей стороны уверял, что заражение произошло без открытия приложения: У пользователя в Outlook исполнение JavaScript в теле письма было разрешено по умолчанию...
                                                        • 0
                                                          «У пользователя в Outlook исполнение JavaScript в теле письма было разрешено по умолчанию...»

                                                          Это как так? Т.е. в аутлуке а) включен автоматический предпросмотр доков MS Office и б) в предпросмотре автоматом выполнился скрипт?
                                                          Жесть какая.
                                                          • 0
                                                            Да-да. Скажу больше, на многих конторах, что активно работают с документацией, это включено, т.к. экономят на оборудовании. Машины хорошо если 2010 года выпуска, а то и ноуты на кастратах i3 2 серии с 2-4 гигами оперативы, а то и на Duo.
                                                            • 0
                                                              Честно говоря, я сам удивился, когда услышал это. Даже подумал, что админ таким образом выгораживает пользователя, который всё-таки открыл приложение. Во всяком случае, мне это показалось более вероятным, чем подобная настройка почтового клиента в корпоративной среде. С другой стороны, медицинские учреждения часто не придают должного значения ИБ.
                                                          • 0
                                                            Так вот на что у меня Кыся ругалась дня три назад, когда я почту чистил. А я всё сидел и думал: давненько мне в спам вирусов не слали XD

                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                            Самое читаемое