Поиск по сайту

up

Компьютерные новости

Все разделы

Коварный вирус Locky – новый представитель из мира вымогателей

В скандинавской мифологии Локи является богом хитрости и обмана. Поэтому неудивительно, что разработчики нового вируса-вымогателя дали именно такое имя своему зловреду. От его атак уже пострадали пользователи в 114 странах мира, что достаточно необычно, поскольку традиционно вирусы типа Trojan-Ransomware атакуют лишь несколько определенных стран.

Locky

Атакует Locky (Trojan-Ransom.Win32.Locky – согласно «Лаборатории Касперского») путем спам-рассылки с прикрепленным DOC-файлом или ZIP-архивом. В первом случае файл имеет макрос со зловредным кодом, а во втором – предлагает пользователю запустить из архива файл со скриптом JavaScript.

Locky

География распространения Locky

После успешного внедрения в систему Locky проделывает ряд следующих операций:

  • связывается с командным сервером и рапортует о заражении;
  • получает с сервера открытый ключ RSA-2048 и ID заражения, сохраняет их в реестре;
  • отправляет на сервер информацию о языке зараженной ОС, получает текст с требованиями злоумышленников, который впоследствии будет показан жертве, и сохраняет этот текст в реестре;
  • на локальных дисках ищет и шифрует файлы с определенными расширениями;
  • удаляет теневые копии («shadow copies») файлов;
  • прописывается в автозагрузку (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run);
  • на сетевых дисках (в том числе и на сетевых файловых ресурсах, которым не присвоена буква диска) ищет и шифрует файлы с определенными расширениями;
  • показывает жертве требования злоумышленников;
  • завершает свой процесс и самоудаляется.

Locky

Полный список типов шифруемых файлов

Список шифруемых с помощью алгоритма AES-128 файлов достаточно обширный. В его состав входят как видео (MKV, AVI, MP4, MOV и другие), архивы (7Z, RAR, ZIP), аудиофайлы (MP3, WMA), изображения (BMP, PNG, RAW, JPG), документы (DOC, XLS, PPT, DJVU) и многие другие.

Locky

После завершения шифрации файлов на экране пользователя возникает призыв пользователя к покупке за биткоины специальной утилиты Locky Decrypter, которая поможет пользователям расшифровать его же файлы. Очень предусмотрительно и любезно со стороны злоумышленников.

Locky

Интересным является и тот факт, что в списке доступных языков представлены многие европейские и азиатские страны, но в нем нет украинского, русского и языков других стран СНГ. Видимо, создатели Locky не особо стремятся иметь дело с нашим регионом: то ли люди бедные, то ли на угрозы не ведутся. Но некоторые атаки все же имели место. В любом случае, будьте осторожны при загрузке файлов из сети, особенно из подозрительных спам-рассылок, и по возможности используйте антивирусы для защиты своих систем.

https://securelist.ru
Сергей Будиловский