Написанный на Python шифровальщик маскируется под Locky

0
39

Специалисты Trend Micro обнаружили шифровальщика PyLocky, который написан на Python и маскируется под известного вымогателя Locky.

По информации исследователей, малварь активна с июля 2018 года. Атаки PyLocky направлены против европейских пользователей, так, в конце августа почти 2/3 целей шифровальщика находились во Франции. Исходя из того, что сообщения с требованием выкупа написаны на английском, французском, итальянском, корейском и других языках, эксперты полагают, что операторы малвари планируют расширять атаки на другие страны и регионы.

Специалисты Trend Micro подчеркивают, что PyLocky не имеет никакого отношения к своему знаменитому прототипу. Малварь создана с использованием PyInstaller, который позволяет сделать из Python-приложения исполняемый файл. Также PyLocky использует опенсорсный Inno Setup Installer, из-за чего его крайне трудно обнаружить используя только статический анализ.

Распространяется PyLocky традиционным способом — с помощью спама. Многие письма злоумышленников написаны с применением социальной инженерии и адресованы не частным лицам, а сотрудникам различных компаний. Операторы шифровальщика обманом вынуждают своих жертв перейти по вредоносный ссылке из письма и скачать ZIP-архив, содержащий PyLocky.

После установки, чтобы избежать обнаружения, шифровальщик «засыпает» на 999,999 секунд (более 11 дней), если на зараженной машине менее 4 Гб памяти. После PyLocky с помощью PyCrypto и 3DES (Triple DES) шифрует 150 типов файлов, включая изображения, видео, документы, БД, архивы, программы, игры и так далее, а затем связывается с управляющим сервером и требует выкуп в криптовалюте, давая пострадавшему 96 часов.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here