Компьютерные новости
Все разделы
Коварный вирус Locky – новый представитель из мира вымогателей
В скандинавской мифологии Локи является богом хитрости и обмана. Поэтому неудивительно, что разработчики нового вируса-вымогателя дали именно такое имя своему зловреду. От его атак уже пострадали пользователи в 114 странах мира, что достаточно необычно, поскольку традиционно вирусы типа Trojan-Ransomware атакуют лишь несколько определенных стран.
Атакует Locky (Trojan-Ransom.Win32.Locky – согласно «Лаборатории Касперского») путем спам-рассылки с прикрепленным DOC-файлом или ZIP-архивом. В первом случае файл имеет макрос со зловредным кодом, а во втором – предлагает пользователю запустить из архива файл со скриптом JavaScript.
География распространения Locky
После успешного внедрения в систему Locky проделывает ряд следующих операций:
- связывается с командным сервером и рапортует о заражении;
- получает с сервера открытый ключ RSA-2048 и ID заражения, сохраняет их в реестре;
- отправляет на сервер информацию о языке зараженной ОС, получает текст с требованиями злоумышленников, который впоследствии будет показан жертве, и сохраняет этот текст в реестре;
- на локальных дисках ищет и шифрует файлы с определенными расширениями;
- удаляет теневые копии («shadow copies») файлов;
- прописывается в автозагрузку (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run);
- на сетевых дисках (в том числе и на сетевых файловых ресурсах, которым не присвоена буква диска) ищет и шифрует файлы с определенными расширениями;
- показывает жертве требования злоумышленников;
- завершает свой процесс и самоудаляется.
Полный список типов шифруемых файлов
Список шифруемых с помощью алгоритма AES-128 файлов достаточно обширный. В его состав входят как видео (MKV, AVI, MP4, MOV и другие), архивы (7Z, RAR, ZIP), аудиофайлы (MP3, WMA), изображения (BMP, PNG, RAW, JPG), документы (DOC, XLS, PPT, DJVU) и многие другие.
После завершения шифрации файлов на экране пользователя возникает призыв пользователя к покупке за биткоины специальной утилиты Locky Decrypter, которая поможет пользователям расшифровать его же файлы. Очень предусмотрительно и любезно со стороны злоумышленников.
Интересным является и тот факт, что в списке доступных языков представлены многие европейские и азиатские страны, но в нем нет украинского, русского и языков других стран СНГ. Видимо, создатели Locky не особо стремятся иметь дело с нашим регионом: то ли люди бедные, то ли на угрозы не ведутся. Но некоторые атаки все же имели место. В любом случае, будьте осторожны при загрузке файлов из сети, особенно из подозрительных спам-рассылок, и по возможности используйте антивирусы для защиты своих систем.
