25 марта 2016

Хитроумный шифровальщик «Локи» грабит госпитали США

Новости Угрозы

Пациенты всего мира, будьте внимательны: у киберпреступников пополнение в семействе! Несмотря на юный возраст, одномесячный троянец-вымогатель уже успел натворить дел: зашифровать медицинские данные в двух американских больницах.

«Малыш» получил экзотическое имя «Локи» и всемирную известность после того, как зашифровал медицинские данные Пресвитерианского медицинского центра в округе Голливуд, Лос-Анджелес, штат Калифорния. На этой неделе от действий шифровальщика пострадал Методистский госпиталь в Хендерсоне, штат Кентукки.

Новая жертва — учреждение экстренной медицинской помощи, которое может принять в стационар до 215 пациентов. Эта больница была вынуждена отключить все компьютеры в здании, иначе они могли заразить друг друга. Сейчас госпиталь сотрудничает с ФБР и последовательно проверяет каждый компьютер на предмет заражения. Часть данных, возможно, получится восстановить из бэкапа.

Калифорнийский медицинский центр был вынужден заплатить взломщикам около $17 тысяч, чтобы вернуть свои файлы. У госпиталя в Хендерсоне преступники требуют всего $1600 выкупа, но администрация заявила, что деньги будут отправлены только в самом крайнем случае.

Приключение «Локи» в Кентукки началось, как это обычно и бывает, с одного письма. В прошлую пятницу сотрудник больницы получил спам и открыл вложенный файл, содержащий троянца-вымогателя. Так «Локи» попал в локальную сеть. Он быстро скопировал хранящиеся на компьютере данные, зашифровал их и удалил оригиналы. Одновременно началось путешествие троянца по внутренней сети больницы, остановить которое удалось только полным отключением всех компьютеров.

Раньше «Локи» поставлялся на компьютеры жертв с помощью doc-файлов с макросом, который загружал троянца с удаленного сервера и запускал его. Потом злоумышленники сменили тактику и начали использовать zip-архивы, содержащие вредоносные скрипты на языке JavaScript. После запуска такой скрипт загружает с удаленного сервера троянца Locky и запускает его. Большинство вредоносных писем были составлены на английском языке, но встречались и послания на других языках.

По данным Kaspersky Security Network, «Локи» чаще всего атакует пользователей в Германии, Франции, Кувейте, Индии, Китае, Южной Африке, США, Италии, Испании и Мексике. Насколько мы знаем, его пока не интересуют Россия и страны СНГ.

Следует отметить, что «Локи» — очень любопытный троянец. Он собирает подробнейшую статистику по каждому заражению. Другие известные нам семейства вымогателей не отличались такой скрупулезностью. Подобная любознательность может быть связана, например, с желанием преступников улучшить свое творение. Если когда-нибудь они научатся разбираться, насколько ценные файлы были зашифрованы, то в соответствии с этим смогут выставлять индивидуальные цены — в зависимости от важности данных.

Скорее всего, «Локи» не создавался специально для атак на медицинские учреждения. Специалисты по безопасности уверены, что целью преступников могут стать все пользователи, которые не могут работать без накопленных данных: юристы, медики, архитекторы и так далее.

В заключение хотим отметить, что решения «Лаборатории Касперского» защищают пользователей от атак хитроумного «Локи» на всех этапах:

  • Модуль Анти-Спам обнаруживает вредоносные письма, рассылаемые киберпреступниками.
  • Встроенные почтовый и файловый антивирусы засекут загрузочный скрипт и предупредят пользователя об угрозе. В нашей системе эти загрузчики называются Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent и HEUR:Trojan-Downloader.Script.Generic.
  • Файловый антивирус распознает исполняемый файл троянца и сообщит пользователю, что он обнаружил Trojan-Ransom.Win32.Locky.
  • Модуль «Мониторинг активности» в Kaspersky Internet Security найдет даже неизвестные образцы «Локи» и оповестит пользователя об обнаружении PDM:Trojan.Win32.Generic. Он не разрешает шифровать файлы на диске, так что ни одному троянцу-вымогателю не удастся попортить вам жизнь и потребовать выкуп.