Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Ez baj! Feltámadt a Locky zsaroló program

2017. május 04. - ITsec

Szerző: Biztonságportál | Utolsó módosítás: 2017.04.24.

https://biztonsagportal.hu/ez-baj-feltamadt-a-locky-zsarolo-program.html

Igencsak rossz hírrel kezdődik a hét. A már eddig is nagy károkat okozó Locky zsaroló program visszatért, és megint elkezdte rombolni a fájlokat.

A Locky zsaroló program először 2016-ban ütötte fel a fejét, és nagy lendülettel kezdte hódító útját. Hamar a legveszélyesebb számítógépes kártevők közé küzdötte fel magát. Hazánkba is betette a lábát, így a magyar felhasználók sem mentesültek a kockázatok alól. Az elmúlt évben számos variánsa jelent meg, és a globális szintű károkozásaival dollármilliós károkat idézett elő. A szerzemény minden szervezettel szemben könyörtelen volt, amit jól példáz az egyik hollywoodi egészségügyi központ esete is, amelynek informatikai rendszere még 2016 februárjában fertőződött meg, és 17 ezer dollár fejében sikerült helyreállítani a betegek Locky által titkosított adatait.
 
A zsaroló program az elmúlt időszakban háttérbe szorult, nem igazán lehetett hallani felőle. Ennek valódi okai nem ismertek, de feltételezések szerint a Locky széles körű tejerjedésének az vetett véget, hogy a Necurs nevű botnet mögött álló csoport a Locky helyett inkább áttért a Dridex banki trójai terjesztésére. Ezzel pedig a zsaroló program elvesztette a legfontosabb terjesztési csatornáját. Sajnos csak mostanáig, ugyanis a károktevő ismét felbukkant.
 
Marad az e-mailezés
 
A Locky legújabb variánsa továbbra is e-mailekben terjed, miközben meglehetősen nehézzé teszi a detektálását. Mindezt elsősorban egy többlépcsős fertőzési folyamattal éri el. Amikor egy terjesztését szolgáló e-mail bekerül a felhasználó postafiókjába, akkor annak csatolmánya egy PDF-mellékletet tartalmaz. A legtöbb esetben a csalók azt állítják, hogy számlával vagy fizetéssel kapcsolatos adatok találhatók a mellékletben. Ha a címzett megnyitja a fájlt, akkor egy figyelmeztető ablak jelenik meg, miszerint a PDF-kezelő alkalmazásnak meg kell jelenítenie egy Word fájlt. Ha a felhasználó ezt is jóváhagyja, akkor megnyílik a dokumentum, amely makrók engedélyezését kéri. Amennyiben a felhasználó ezt a figyelmeztetést is figyelmen kívül hagyja, akkor a Locky előtt szabaddá válik az út.



Forrás: Bleeping Computer

 
A makró először letölti a Locky titkosított kódját, amit dekódol, és elindít. Ekkor egy új fájl kerül az átmeneti állományok tárolására szolgáló (Temp) mappába, általában Redchip2.exe néven. A fájlok titkosítása előtt a károkozó törli az árnyékmásolatokat, hogy a helyreállítást ezzel is megnehezítse. Majd nekilát az állományok titkosításának, és megjeleníti a követeléseit. Közli a felhasználóval, hogy a fájljait erős titkosítással kódolta, és csak egy érvényes dekódoló kulcs, valamint egy erre alkalmas szoftver segítségével lehet helyreállítani a károkat. Ezért pedig fizetni kell.



Forrás: VirusTotal

 
A VirusTotal adatai szerint az új Locky felbukkanása után 60 víruskeresőből mindössze 8 volt képes biztosan felismerni az újjászületett kártevőt. Nyilván azóta már javult ez a helyzet, ezért a vírusvédelem naprakészen tartása, rendszeres frissítése rendkívül fontos. Emellett természetesen a biztonsági mentéseket sem szabad elhanyagolni. Ugyancsak lényeges a biztonságtudatos levelezés és dokumentumkezelés. Látható, hogy a Locky fertőzése előtt legalább két alkalmazás biztonsági figyelmeztetését kell jóváhagyni. Ha ezek közül csak az egyiknél gyanút fog a felhasználó, és nem engedélyezi az adott műveletet, akkor a kártevő méregfoga kihúzható.