Эксперты из Лаборатории Касперского провели анализ трояна Locky, шифрующего данные зараженных устройств, который активно распространяется более чем в 100 странах по всему миру. С пострадавших злоумышленники пытаются вымогать выкуп за восстановление зашифрованных данных. Случаи заражения отмечены и в России.
Что же такое Locky и как пользователи могут защититься
Жертвы трояна Locky получают поддельные сообщения электронной почты, которые могут содержать, например, требующие оплаты счета или подтверждения об исполнении платежа.
Большинство писем написано на английском языке, однако, встречаются также сообщения на других языках. Когда жертва запускает документ, вредоносный скрипт загружает троян и запускает его.
Сам троян имеет размер около 100 килобайт. При запуске копирует себя во временную папку и, изменив некоторые параметры, отключает системное сообщение, информирующее пользователя, что запускается файл загруженный из интернета.
Вредоносная программа проверяет, был ли данный компьютер уже заражен, и выполняет следующие операции:
- связывается с сервером, контролируемым злоумышленниками, и сообщает о новом зараженном компьютере;
- получает от сервера ключ шифрования, генерируемый для каждой конкретной жертвы;
- отправляет на сервер информацию о версии операционной системы зараженной машины и получает содержание требования о выкупе на соответствующем языке;
- обеспечивает себе возможность запуска вместе с запуском операционной системы;
- шифрует файлы определенных форматов (несколько десятков расширений) на локальных и сетевых дисках (зашифрованные файлы имеют расширение .locky).
В завершении троян отображает требование выкупа от кибер-преступников, завершает работу и удаляет свой код в зараженной системе. Требование выкупа, отображаемое на компьютере жертвы, содержит ссылку на страницу, подготовленную злоумышленниками, на которой пользователь может узнать, каким образом оплатить выкуп (злоумышленники предпочитают валюту Bitcoin), чтобы получить программу, с помощью которой можно расшифровать данные. В настоящее время эта страница доступна на более чем 20 языках.
Эксперты из «Лаборатории Касперского» определили основные жертвы трояна Locky в 114 странах. Больше всего нападений было зафиксировано в таких странах, как Германия, Франция, Кувейт, Индия, Китай, Южная Африка, США, Италия, Испания и Мексика. Попытки заражения происходили также в России.
Для защиты от трояна Locky, а также от других троянов вымогателей, необходимо предпринять следующие меры:
- не открывайте вложения в сообщениях электронной почты, полученных от неизвестных отправителей;
- регулярно выполняйте резервное копирование своих файлов и храните копии на съемных носителях памяти или в облаке – не держите их на вашем компьютере или на носителях памяти, которые постоянно подключены к компьютеру;
- установите эффективное решение безопасности с технологией защиты от программ-вымогателей;
- регулярно устанавливайте обновления баз данных решений по безопасности, операционной системы и другого программного обеспечения, установленного на компьютере.