Deși au trecut câteva săptămâni de când a declanșat atacul și a început să cripteze datelor victimelor, Locky încă vizează mulți utilizatori. Pentru mai multe informații legate de această amenințare, am reunit o serie de informații pentru a vă putea proteja cât mai bine.
Scurt sumar
Win32/Filecoder.Locky.A este o variantă de program ransomware, care criptează peste 100 de tipuri de fișiere, precum imagini, baze de date etc. pe unități fixe, detașabile sau de rețea. În momentul instalării, programul ransomware se clonează în următoarea locație: %temp%\svchost.exe și adaugă o intrare în regiștrii, prin care este executat de fiecare data când sistemul este pornit.
Vectorul de atac este un mesaj normal transmis printr-un e-mail ce conține un atașament (versiunile anterioare foloseau fișiere de tip Word sau Excel cu un conținut de macro-uri malițios). Acest atașament vine cu un program trojan downloader, aparținând de obicei familiei detectată de ESET ca fiind JS/TrojanDownloader.Nemucod, printre alte variante.
Odată deschis, acest fișier conține un fișier de tip JavaScript (.js), care atunci când este executat, descarcă și execută încărcătura sa, Locky în acest caz.
Win32/Filecoder.Locky.A este inițiat și caută fișiere în unitățile locale și cele de rețea. Apoi, le criptează și le redenumește, schimbând extensia sub forma ‘.locky’. După ce această redenumire a extensiei a fost făcută, programul ransomware Locky schimbă imaginea de fundal a sistemului, astfel că apare următoarea imagine pe desktop, ce afișează textul de mai jos:
După acest pas, utilizatorului i se cere să plătească o răscumpărare, iar troianul se șterge automat din calculator. În plus, acest malware colectează informații legate de sistemul de operare și de setările acestuia, precum și informații asociate listei fișierelor criptate; apoi încearcă să trimită aceste date către un echipament aflat la distanță, folosind protocolul HTTP.
Așa cum s-a putut observa în toate variantele ransomware, instrucțiunile de plată sunt stocate într-un link TOR, iar plata trebuie sa fie făcută utilizând bitcoin.
Campanii curente
Încă de la sfârșitul lunii februarie, am observat mai multe campanii de propagare a programelor ransomware, spre exemplu, Locky si TeslaCrypt, sunt răspândite folosind malware-ul JS/TrojanDownloader.Nemucod. Acele campanii au atins rate de detecție foarte ridicate în sistemele de analiză ESET, precum LiveGrid®, atingând, în țări precum Japonia, aproape 80%. Aceste rate de detecție sunt calculate pe baza datelor oferite în mod automat de către utilizatori, prin sistemul LiveGrid®, astfel fiind evidențiat ce procent din cantitatea totală de malware detectată în serverele ESET aparține unei variante. Dacă urmărim informațiile recente, putem observa trei campanii mari de propagare de la sfârșitul lunii februarie și până acum, ultima fiind încă activă în data de 17 martie:
Ce țări se numără printre cele mai afectate de aceste campanii de propagare a troienilor de acest tip pe parcursul lunii trecute? Japonia este în fruntea listei, urmată de alte țări europene, cum ar fi Italia, Marea Britanie și Irlanda. Trebuie să luăm în considerare faptul că aceste rate de detecție se schimbă de la zi la zi și că există rate foarte mari de detecție și în alte țări, precum Germania și Spania.
Alte regiuni, cum ar fi America de Nord, Australia, Noua Zeelandă și Africa de Sud au fost, de asemenea, afectate, însă, din moment ce e-mailul trimis pentru a se răspândi programul ransomware este scris în limba engleză, este normal aceste zone să dețină cele mai ridicate cote de detecție.
Este de asemenea interesant faptul că infractorii vizează țările cele mai bogate, probabil în speranța că exista o probabilitate mult mai mare în aceste țări ca utilizatorii infectați să plătească ceea ce li se cere.
Cum să vă protejați?
Chiar dacă metodele de protecție menționate în alte campanii ransomware se aplică perfect și în cazul lui Locky, este indicat să le revizuim și să adăugăm unele noi:
- Backup-urile sunt esențiale. Trebuie să recunoaștem, ultimul lucru pe care l-ați dori ca utilizatori este un program ransomware agresiv, care să cripteze toate datele voastre personale și care să vă facă să plătiti pentru a le putea recupera. Este întotdeauna o idee bună să aveți o versiune de backup a fișierelor, stocată într-un hard disk extern sau chiar într-un sistem de stocare de tip cloud.
Trebuie să vă asigurați că sunteți conectați la acest sistem de backup doar în momentul în care se copiază fișierele. În caz contrar, s-ar putea ca fișierele de rezervă să devină și acestea criptate, deoarece cele mai multe programe ransomware caută unitățile externe și foldere partajate, precum și serviciile de stocare cloud mapate la sistemul de fișiere.
Programul antivirus trebuie să fie actualizat, iar în cazul în care acesta dispune de un sistem de atenționare timpurie, trebuie să vă asigurați că este activat. Aceast lucru poate face diferența dintre a fi nevoit să așteptați ore pentru o semnătură virală care detectează o nouă amenințare sau doar câteva minute.
- Realizați o actualizare a sistemului și a tuturor programelor instalate. Tentativele de exploatare care profită de lipsurile în securitatea sistemelor sunt frecvent folosite de către creatorii de malware. Nu lăsați infractorii cibernetici să infecteze sistemul, doar pentru că ați uitat să instalați cele mai recente actualizări.
- Securizați sistemul. În afară de a-l menține actualizat, sunt și alte metode prin care îl puteți păstra în siguranță. Windows UAC este un pas bun, deoarece aveții posibilitatea de a-l configura pentru a solicita o permisiune suplimentară în executarea unui fișier necunoscut.
- Dacă vă aflați într-un mediu business și aveți Windows Active Directory, puteți seta politicile de grup astfel încât acestea să poată împiedica un program ransomware să execute, să cripteze fișierele sau să se răspândească prin intermediul rețelei. Puteți preveni chiar și ca macro-urile de tip Office să fie executate, astfel încât nu va trebui să vă faceți griji cu privire la posibilitatea ca unii dintre angajați să deschidă un document office virusat.
JOSEP ALBORS
CORESPONDENT INDEPENDENT
Lasa un comentariu