Создатели популярного приложения-вымогателя Locky добавили в него механизм работы при отсутствии доступа в Интернет. Исследователи из компании Avira обнаружили новую версию Locky, который начинает шифровать файлы пользователя даже без возможности запросить ключ с сервера.
Связь с сервером важна для приложений-вымогателей, использующих криптографические ключи, которые генерируются на сервере для каждого компьютера отдельно. Большинство программ без связи с сервером не начинают зашифровывать файлы. Сначала вымогатель генерирует симметричный ключ и применяет алгоритм вроде AES (Advanced Encryption Standard) для шифрования файлов. Далее запрос на сервер просит сгенерировать ключ RSA. Этот ключ используется для шифрования ключа AES. Частный ключ остаётся на сервере хакеров и именно за него платят выкуп пользователи.
Брандмауэры могут остановить работу вымогателей, зафиксировав и запретив попытку соединения с командным сервером. При обнаружении заражения пользователи могут в попытке снизить урон отключить доступ в Интернет и провести проверку жёстких дисков. Всё эти меры не помогут против новой версии Locky, который является одним из наиболее распространённых вымогателей. Хорошей новостью является то, что программа шифрует файлы одинаковым ключом на всех компьютерах без доступа в сеть. Это означает, что и для расшифровки файлов можно будет использовать один ключ.
Исследователи из F-Secure на уходящей неделе зафиксировали две массовые кампании по распространению Locky через электронную почту с вложениями в виде файлов zip, в которых содержатся вредоносные вложения на JavaScript.