思科Talos安全研究人员称，Necurs垃圾邮件僵尸网络通过发送伪装成虚假发票的信息传播 Locky勒索软件 。去年，Locky跻身为勒索软件前列，幕后主推手为Necurs僵尸网络，两者活动密切相关。

2017年 Necurs僵尸网络像火山一样开始活跃

2017年3月， Necurs僵尸网络整合垃圾邮件、勒索软件、DDoS攻击三种功能， 随后在4月Necurs开始传播Locky勒索软件。大约在5月12日，Necurs开始传播一种新的 勒索软件Jaff ，而 WannaCry勒索软件 在同一天首次亮相。

事实证明，Jaff与Locky勒索软件密切相关，因为它们是由同一威胁源起方操作。然而，本月早些时候， 卡巴斯基实验室安全研究人员发现Jaff勒索软件中的漏洞，并成功创建了解密工具 ，允许受害者免费恢复数据。尽管到目前为止已有三个Jaff勒索软件变种，解密工具对这些变种均生效。

显然，解密工具的发布已将Jaff勒索软件排除在外，Necurs又再次开始推送Locky勒索软件。垃圾邮件拖过发送内部嵌套.exe文件的双压缩文件来推送勒索软件。之前Necurs攻击活动中都使用订单确认、支付收据、业务文档等主题，这次的信息主题是虚假发票。

根据Talos报道，新攻击活动中有大量垃圾邮件：在最初一个小时内，垃圾邮件数量占公司系统邮件量的7%。安全研究人员表示，垃圾邮件数量在减少，但依然保持活跃。

目前传播的Locky样本只能在Winxp中加密

攻击中使用和以前相同的分支ID，但勒索软件本身有一系列变化。其中一项变化为，勒索软件不能对运行较新于Windows XP操作系统的系统上的数据进行加密。

命令与控制（C&C）URL结构是本次攻击活动的另一显著特点。安全研究人员表示，

“在最新Locky攻击活动中，攻击者重新利用/checkupdate路径作为URL结构的组成部分，这与之前Locky攻击活动中发现的URL结构完全相同。或许，这说明攻击者在开发和开展攻击活动的过程中很匆忙。”

Talso表示，Locky操作者很可能会意识到勒索软件中存在的问题，也许很快就会有更新变种出现，修复已有漏洞。然而，目前通过Necurs传播的Locky样本只能在Windows XP系统中加密。Talos表示

“点击链接或打开陌生邮件中的附件往往是危险的。不听劝告的用户很容易成为勒索软件受害者。并且，如果支付了后续赎金，这些赎金无疑会成为下一轮攻击的有力支持。通常，组织应对数据进行备份、尝试恢复，并离线保存，远离潜在犯罪分子的魔掌。”