Olyannyira meglepetésszerűen bukkant fel némi szünet után a Locky zsaroló program, amely tavaly villámgyorsan a legveszélyesebb ransomware-ek közé került, hogy a VirusTotal első vizsgálatai szerint hatvan víruskeresőből mindössze nyolc ismerte fel. Bár a vírusvédelmi cégek ilyenkor nagyon gyorsan reagálnak, a védelemhez az is kell, hogy a felhasználók is figyeljenek a vírusvédelmük frissítésére – írta összefoglalójában a Biztonságportál.

Nagy pusztítások után eltűnt

A Magyarországon is pusztító Lockynak már tavaly is több variánsa megjelent, melyek globálisan dollárban is milliós nagyságrendű károkat okoztak. Az egyik nagy visszhangot kiváltott támadást egy hollywoodi egészségügyi központ szenvedte el tavaly februárban. Az intézménynek végül 17 ezer dollárjába került, hogy a vírus által titkosított a betegadatokat visszakapja.

A ransomware azonban ahogy jött, az utóbbi időben mintha el is tűnt volna. Szakértők azt feltételezték – bár megbízható információk erről nem voltak –, hogy az eltűnése mögött a Necurs botnet üzemeltetőinek stratégiaváltása állt: a Dridex banki trójai terjesztésére koncentráltak. Így aztán ransomware-fronton az utóbbi időben mindenki a Cerberre figyelt elsősorban.

Több lépcsőben fertőz...

A Locky most úgy tért vissza, hogy detektálása is meglehetősen nehéz, mert több lépcsőben fertőz. A terjesztése e-mailben történik. A levélben van egy PDF formátumú csatolmány, amelyről a levél szövege azt állítja, hogy számlával vagy fizetéssel kapcsolatos adatokat tartalmaz. Ha megnyitjuk a PDF-et, megjelenik egy figyelmeztető ablak, hogy a PDF-kezelő alkalmazásnak meg kell jelenítenie egy Word állományt. Ha a felhasználó ezt is jóváhagyja, a megnyíló dokumentum kéri a makrók engedélyezését. Ha ezt a figyelmeztetést is figyelmen kívül hagyjuk, elindul a Locky.

A makró a következőket teszi: letölti a Locky titkosított kódját, azt dekódolja, majd elindítja. Ekkor a Temp mappába bekerül egy új fájl, leggyakrabban a Redchip2.exe. A károkozó első lépésben törli az árnyékmásolatokat, hogy csökkentse a helyreállítás esélyét, majd titkosítja a fájlokat. Amikor végzett, megjeleníti a szokásos zsaroló üzenetet: az állományokat erős titkosítással kódolta, így azokhoz csak egy érvényes dekódoló kulcs és egy célszoftver segítségével lehet hozzáférni.

...mégis sikeres

A Locky sikere két dologra is felhívja a figyelmet. Egyrészt arra az örök szabályra, hogy egy víruskereső csak akkor ér valamit, ha naprakész. A másik azonban az, hogy a felhasználók mennyire nincsenek tudatában a veszélyeknek.

Mit azzal a közelmúltban foglalkoztunk, a Trustlook egy felméréséből kiderült, hogy miközben a válaszadók 17 százaléka már átélt zsaroló vírusos támadást, 45 százalékuk még nem hallott erről a veszélyforrásról. 23 százalékuk pedig annyira nem foglalkozik a problémával, hogy soha nem menti a számítógépén, illetve a mobil eszközein lévő adatokat.

A biztonságtudatosság javításával sok, a Lockyhoz hasonló fertőzés kockázata csökkenthető lenne.