Locky - szkodliwy program szyfrujący dane, który szturmem zdobywa świat

Eksperci z Kaspersky Lab przeprowadzili analizę szyfrującego dane trojana Locky, który aktywnie rozprzestrzenia się w ponad 100 krajach na całym świecie. Ofiary, od których cyberprzestępcy próbują wyłudzić okup za odzyskanie zaszyfrowanych danych, zostały zlokalizowane także w Polsce.

Z analizy próbek przechwyconych przez ekspertów wynika, że trojan Locky to nowe zagrożenie typu ransomware, które zostało napisane całkowicie od nowa. Czym zatem jest Locky i jak użytkownicy mogą się przed nim zabezpieczyć?

Ofiary trojana Locky otrzymują sfałszowane wiadomości e-mail, które mogą zawierać np. rzekome faktury lub potwierdzenia wykonania płatności. Gdy ofiara uruchomi załączony dokument, szkodliwy skrypt pobiera trojana i uruchamia go.

Sam trojan ma rozmiar około 10. kilobajtów. Po uruchomieniu kopiuje się do tymczasowej lokalizacji i modyfikując pewne parametry wyłącza systemowy komunikat informujący użytkownika, że uruchamiany plik został pobrany z internetu i może być potencjalnie niebezpieczny. Szkodnik sprawdza, czy dany komputer nie był już wcześniej zainfekowany i wykonuje następujące operacje:

• kontaktuje się z serwerem kontrolowanym przez cyberprzestępców i zgłasza nowy zainfekowany komputer,
• uzyskuje z serwera klucz szyfrujący wygenerowany dla konkretnej ofiary,
• wysyła do serwera informacje o wersji językowej systemu operacyjnego zainfekowanej maszyny i otrzymuje treść żądania okupu w odpowiednim języku,
• zapewnia sobie start wraz z każdym uruchomieniem systemu operacyjnego,
• szyfruje pliki o określonych formatach (kilkadziesiąt rozszerzeń) na dyskach lokalnych i sieciowych (zaszyfrowane pliki posiadają rozszerzenie .locky).

Na koniec trojan wyświetla żądanie okupu od cyberprzestępców, kończy działanie i usuwa swój kod z zainfekowanego systemu.

Żądanie okupu wyświetlane na komputerze ofiary zawiera odnośnik do strony przygotowanej przez cyberprzestępców, na której użytkownik może się dowiedzieć, w jaki sposób zapłacić okup (atakujący preferują walutę Bitcoin)
, by otrzymać program, który odszyfruje dane. Obecnie strona ta jest dostępna w ponad 2. językach.

Locky przeprowadza ataki w praktycznie wszystkich rejonach świata. Na podstawie listy języków obsługiwanych na stronie umożliwiającej zapłatę okupu, można określić, które państwa traktowane są przez cyberprzestępców jako główne cele.

Zapobieganie infekcji
W celu zabezpieczenia się przed trojanem Locky, a także innymi trojanami ransomware, należy podjąć następujące środki zapobiegawcze:

• nie otwieraj załączników w wiadomościach e-mail, jeśli pochodzą od nieznanych nadawców,
• regularnie wykonuj kopię zapasową swoich plików i przechowuj kopie na wymiennych nośnikach pamięci lub w chmurze - nie trzymaj ich na swoim komputerze ani na nośnikach pamięci, które są na stałe podłączone do komputera,
• zainstaluj skuteczne rozwiązanie bezpieczeństwa wyposażone w technologie ochrony przed oprogramowaniem ransomware,
• regularnie instaluj uaktualnienia baz danych, rozwiązań bezpieczeństwa, systemu operacyjnego oraz innego oprogramowania zainstalowanego na komputerze.

Źródło: Kaspersky Lab

jb