Комп'ютерні новини
Всі розділи
Підступний вірус Locky - новий представник зі світу здирників
У скандинавській міфології Локі є богом хитрощів й обману. Тому не дивно, що розробники нового вірусу-здирника дали йому саме таке ім'я. Від його атак вже постраждали користувачі в 114 країнах світу, що досить незвично, оскільки традиційно віруси типу Trojan-Ransomware атакують лише декілька певних країн.
Атакує Locky (Trojan-Ransom.Win32.Locky - згідно з «Лабораторією Касперського») шляхом спам-розсилки з прикріпленим DOC-файлом або ZIP-архівом. У першому випадку файл має макрос зі шкідливим кодом, а в другому - пропонує користувачеві запустити з архіву файл зі скриптом JavaScript.
Географія поширення Locky
Після успішного впровадження в систему Locky проробляє низку наступних операцій:
- зв'язується з командним сервером і рапортує про зараження;
- отримує з сервера відкритий ключ RSA-2048 і ID зараження, зберігає їх у реєстрі;
- надсилає на сервер інформацію про мову зараженої ОС, отримує текст з вимогами зловмисників, який згодом буде показаний жертві, і зберігає цей текст у реєстрі;
- на локальних дисках шукає і шифрує файли з певними розширеннями;
- видаляє тіньові копії («shadow copies») файлів;
- прописується в автозавантаження (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run);
- на мережевих дисках (в тому числі й на мережевих файлових ресурсах, яким не присвоєно букву диска) шукає та шифрує файли з певними розширеннями;
- показує жертві вимоги зловмисників;
- завершує свій процес і самовидаляється.
Повний перелік типів файлів, що шифруються
Список файлів, що шифруються за допомогою алгоритму AES-128, досить великий. До його складу входять як відео (MKV, AVI, MP4, MOV та інші), архіви (7Z, RAR, ZIP), аудіофайли (MP3, WMA), зображення (BMP, PNG, RAW, JPG), документи (DOC, XLS , PPT, DJVU) і багато інших.
Після завершення шифрування файлів на екрані користувача з'являється заклик користувачеві до покупки за біткоіни спеціальної утиліти Locky Decrypter, яка допоможе користувачам розшифрувати його ж файли. Дуже завбачливо і люб'язно з боку зловмисників.
Цікавим є й той факт, що в списку доступних мов представлені багато європейських і азіатських країн, але в ньому немає української, російської та мов інших країн СНД. Мабуть, творці Locky не особливо прагнуть мати справу з нашим регіоном: чи то люди бідні, чи на погрози не ведуться. Але деякі атаки все ж мали місце. У будь-якому випадку, будьте обережні при завантаженні файлів з мережі, особливо з підозрілих спам-розсилок, і за можливістю використовуйте антивіруси для захисту своїх систем.
