18/03/22
Специалисты компании BlackBerry выявили вымогательское ПО, атакующее англоговорящих пользователей и способное стирать несистемные файлы с зараженных Windows-ПК.
Предположительно разработанный иранскими хакерами вымогатель LokiLocker был впервые обнаружен в середине августа 2021 года. Как отмечают исследователи, его не следует путать со старой программой-вымогателем Locky или инфостилером LokiBot. Вредонос имеет схожие черты с вымогательским ПО LockBit (значения реестра, имя файла с требованием выкупа), но непохоже, чтоб он был его прямым «наследником».
LokiLocker распространяется по бизнес-модели «вымогательское ПО как услуга» (ransomware-as-a-service, RaaS) в очень узком кругу тщательно отобранных партнеров. Вредонос атакует пользователей по всему миру, но больше всего жертв насчитывается в Восточной Европе и Азии.
Исследователи все еще пытаются определить происхождение LokiLocker. Встроенная строка отладки написана на английском языке практически без ошибок, характерных для программ, написанных русскими или китайскими хакерами. Некоторые самые ранние партнеры LokiLocker имеют имена пользователей, зарегистрированные исключительно на иранских хакерских каналах. Кроме того, он содержит список стран, в которых нельзя атаковать пользователей, и одной из них является Иран.
Вредонос написан на .NET и защищен с помощью коммерческого инструмента NETGuard.
Ранние версии LokiLocker распространялись через взломанные хакерские инструменты для брутфорса, в том числе PayPal BruteCheck, Spotify BruteChecker, PiaVNP Brute Checker от ACTEAM и FPSN Checker от Angeal. Вероятно, вредонос распространялся через эти инструменты, когда находился на этапе бета-тестирования.
Как и остальные программы-вымогатели, LokiLocker шифрует атакуемые системы и дает жертве время на уплату выкупа. Если по истечении отведенного срока выкуп не будет уплачен, вредонос может стереть все данные с жестких дисков, кроме системных файлов. Кроме того, он попытается перезаписать главную загрузочную запись, чтобы вывести систему из строя.
