Предполага се, че руски хакери стоят зад вируса Locky

Russian hackers are suspected to be behind Locky virusТрябва да сте чували за последния рансъмуер, наречен вирусът Locky. Ако не сте, тогава трябва да Ви предупредим, че тази кибер заплаха вече е засегнала 40 000 устройства. Някои казват, че вече е задминал своя „брат“ – вируса TeslaCrypt, но все още е по-назад от вируса CryptoWall по нанесени щети. Най-засегнатите страни са Германия, САЩ, Франция, Япония, Канада и Австралия. Без значение, че вирусът се появи преди няколко седмици, някои антивирусни все още не могат да го засекат. За щастие експерти по сигурността продължават да търсят най-добрия начин да помогнат на хората при предотвратяването на вируса Locky.

Както вече споменахме, вирусът Locky се появи на бял свят преди няколко седмици, когато блокира компютърната система на Холивудския презвитериански медицински център и открадна 3.4 милиона долара. От тогава експерти по сигурността започнаха да забелязват преведени версии на този рансъмуер. Най-любопитният факт е, че Locky стои далече от рускоговорящи страни и че дори да проникне в такъв компютър се самоунищожава. Същото може да бъде казано и за друг тип рансъмуер, наречен вирусът Cerber, който очевидно избягва Украйна, Беларус, Грузия и Русия. Заради тази си особеност съществуват много спекулации, че Locky и подобни рансъмуери произлизат от рускоговорящи държави. Говорейки за възможни заподозрени, експерти по сигурността са започнали да разследват разработчиците на вируса Dyre (още познат като Dridex), който е добре известен троянец по банките. Според тях рансъмуерът Locky използва подобни начини за разпространение и има потенциала да прави огромни приходи, което е задължително за професионални кибер престъпници.

Може би се чудите как вирусът е успял да направи толкова големи щети. Най-любопитното за него е, че той криптира жизнено важните документи, файлове и дори цели мрежи на потребителите. Тогава, ако същите тези потребители са отчаяни да отворят криптираните файлове, вирусът започва да показва бележката си за откуп, предлагайки да свалят декриптер за Locky за определено количество пари. Изглежда това количество варира, защото някои съобщават за суми от 400 долара, докато компании казват, че са загубили милиони долари. Въпреки това не се знае дали са успели да си възвърнат данните след разплащането. Най-големите късметлии сред жертвите са тези, които предварително са направили бекъп на системата си. Още повече, докато подобни рансъмуери клонят да генерират код за декриптиране на случаен принцип, Locky използва своята структура на командване и контрол, за да предаде код за декриптиране. Според IT-специалисти това може би е една от най-важните причини вирусът да се смята за един от най-сложните рансъмуери в днешно време.

Този рансъмуер се разпространява чрез инфектирани прикачени файлове в подвеждащи имейли. Обикновено се крие в Word приставка, но има жертви, които казват, че са се заразили с инфектирани JavaScript приставки. Потребителите са подлъгани от подвеждащото заглавие „фактура“, което изисква включване на макро. Обикновено макросите са изключени по подразбиране от Microsoft, за да се намали разпространението на малуер. В случай, че бъдат включени, инфектираният документ сваля вируса Locky. Докато компютърни специалисти по сигурността все още търсят ефективни начини за борба с рансъмуера Locky, потребителите се съветва да не отварят съмнителни имейли. Още повече, те трябва да си правят бекъп на най-важната информация и да ограничават достъпа си до съмнителни сайтове.

За автора
Ugnius Kiguolis
Ugnius Kiguolis - Ръководителят

Ъгниъс Кигуолис е професионален изследовател на малуер, който също така е собственик и основател на Virusi.bg.

Свържете се с Ugnius Kiguolis
За компанията Esolutions

Файлове
Софтуер
Сравни