Да попаднеш в капан и да няма измъкване. Така може да те накара да се почувстваш поредният ransomware, набиращ популярност. Носещ името на скандинавско божество, Locky прониква в системата и криптира файловете на устройството, след което изисква откуп под формата на биткойни. Познат сценарий, нали? Но как всъщност се осъществява той?Атаката започва с изпращане на мейл съобщение до потребителя. Темите са разнообразни, а вариациите са на различни езици. Към писмото прилежно е прикачен абсолютно нормален на вид Microsoft Office файл, която може да е .DOC, .DOCM или .XLS. След свалянето и стартирането на този файл, следва активация на вируса. Той (вирусът) създава BAT файл, чиято задача е да създаде нов файл посредством VBScript код. Общата дейност на двата файла ще доведе до сваляне на същинската заплаха, разпозната от ESET като Win32/Filecoder.Locky. Диаграмата представя нагледно как се случват нещата:
1. Всичко започва с невнимание
В случая на Locky, инфектираните Microsoft Office файлове включват макрос, който активира зловредния код при избиране на опцията „Enable Content“
По-детайлният анализ показва, че макросът е отговорен за създаването на файла „Ugfdxafff.bat“. В последствие функцията „Write“ се грижи в този файл да бъде добавен base64 криптиран код. И накрая, за финал, Shell функция се изпълнява BAT файла.
2. BAT and VBS скриптове
Предназначението на “ugfdxafff.bat” е да създаде VBScript файл, който включва и URL адрес за сваляне на зловредния код. В този случай той е кръстен “asddddd.exe”. След успешното сваляне на зловредния код, BAT файлът изпълнява BAT файла чрез командата “start asddddd.exe”, след което изтрива VBS скрипта. За да се заличат доказателствата за съществуването на спомагателните файлове, на свой ред BAT файлът се изтрива от системата.
3. Проактивната защита срещу Locky
Ключът на ефективната защита срещу подобни заплаха е не само наличието на проактивно решение за информационна сигурност на устройството, но и внимателни действия от твоя собствена страна. Така атаките биха били блокирани още преди да достигнат пощата ти. Или – в най-лошия случай – може дори да не задействаш макросите, с които се изпълнява вируса. Входът за подобни атаки обикновено е spam папката. Тя се явява вход за заплахи, които често могат да доведат до сериозни проблеми. Затова, подхождай с особено внимание към макросите при получени Microsoft Office документи. В противен случай рискуваш да компрометираш личната си и финансова информация. Да не говорим, че ако вирусът е ransomware, е напълно вероятно да се разделиш с всичките си файлове на устройството.Добрата новина, е че въпреки глобалната си популярност, Locky не попада в топ 10 на най-разпространените заплахи у нас за месеца. Но пък българските потребители имаха достатъчно главоболия с Nemucod, който е отговорен за над 11% от всички засечени опити за зараза с вирус от продуктите на ESET у нас до средата на април.Решението на ESET за защита срещу ransomware е ESET Smart Security. С него ползваш проактивна защита от вируси, защита от шпионски софтуер, антифишинг технология, антиспам и др.
