Technologie » Internet

Locky — szkodliwy program szyfrujący dane, który szturmem zdobywa świat

2016-04-11
Locky — szkodliwy program szyfrujący dane, który szturmem zdobywa świat
Zobacz więcej zdjęć »
Eksperci z Kaspersky Lab przeprowadzili analizę trojana Locky szyfrującego dane, który aktywnie rozprzestrzenia się w ponad 100 krajach na całym świecie. Ofiary, od których cyberprzestępcy próbują wyłudzić okup za odzyskanie zaszyfrowanych danych, zostały zlokalizowane także w Polsce.

Z analizy próbek przechwyconych przez ekspertów z Kaspersky Lab wynika, że trojan Locky to całkowicie nowe zagrożenie typu ransomware, które zostało napisane całkowicie od nowa. Czym zatem jest Locky i jak użytkownicy mogą się przed nim zabezpieczyć?

Zamów artykuły sponsorowane na serwisie CentrumPR.pl w kilka minut, poprzez platformę Link Buildingu np.:

Przeczytaj również

 

Jak dochodzi do infekcji

 

Ofiary trojana Locky otrzymują sfałszowane wiadomości e-mail, które mogą zawierać np. rzekome faktury lub potwierdzenia wykonania płatności. Większość e-maili jest napisana w języku angielskim, jednak zdarzają się także wysyłki dwujęzyczne. Gdy ofiara uruchomi załączony dokument, szkodliwy skrypt pobiera trojana i uruchamia go.

 

Sam trojan ma rozmiar około 100 kilobajtów. Po uruchomieniu kopiuje się do tymczasowej lokalizacji i modyfikując pewne parametry wyłącza systemowy komunikat informujący użytkownika, że uruchamiany plik został pobrany z internetu i może być potencjalnie niebezpieczny. Szkodnik sprawdza, czy dany komputer nie był już wcześniej zainfekowany, i wykonuje następujące operacje:

 

- kontaktuje się z serwerem kontrolowanym przez cyberprzestępców i zgłasza nowy zainfekowany komputer,

- uzyskuje z serwera klucz szyfrujący wygenerowany dla konkretnej ofiary,

- wysyła do serwera informacje o wersji językowej systemu operacyjnego zainfekowanej maszyny i otrzymuje treść żądania okupu w odpowiednim języku,

 

- zapewnia sobie start wraz z każdym uruchomieniem systemu operacyjnego,

- szyfruje pliki o określonych formatach (kilkadziesiąt rozszerzeń) na dyskach lokalnych i sieciowych (zaszyfrowane pliki posiadają rozszerzenie .locky).  

Na koniec trojan wyświetla żądanie okupu od cyberprzestępców, kończy działanie i usuwa swój kod z zainfekowanego systemu.

 

Żądanie okupu wyświetlane na komputerze ofiary zawiera odnośnik do strony przygotowanej przez cyberprzestępców, na które użytkownik może się dowiedzieć, w jaki sposób zapłacić okup (atakujący preferują walutę Bitcoin), by otrzymać program, który odszyfruje dane. Obecnie strona ta jest dostępna w ponad 20 językach.

 

Geografia ataków

 

Eksperci z Kaspersky Lab zlokalizowali ofiary trojana Locky w 114 krajach. Najwięcej ataków odnotowano w takich krajach jak Niemcy, Francja, Kuwejt, Indie, Chiny, Afryka Południowa, Stany Zjednoczone, Włochy, Hiszpania i Meksyk. Próby infekcji wystąpiły także w Polsce.

 

Locky przeprowadza ataki w praktycznie wszystkich regionach świata. Na podstawie listy języków obsługiwanych na stronie umożliwiającej zapłatę okupu można określić, które państwa traktowane są przez cyberprzestępców jako główne cele.

 

Zapobieganie infekcji

 

W celu zabezpieczenia się przed tym trojanem Locky, a także innymi trojanami ransomware, należy podjąć następujące środki zapobiegawcze:

 

- nie otwieraj załączników w wiadomościach e-mail pochodzących od nieznanych nadawców,

- regularnie wykonuj kopię zapasową swoich plików i przechowuj kopie na wymiennych nośnikach pamięci lub w chmurze nie trzymaj ich na swoim komputerze ani na nośnikach pamięci, które są na stałe podłączone do komputera,

- zainstaluj skuteczne rozwiązanie bezpieczeństwa wyposażone w technologie ochrony przed oprogramowaniem ransomware,

- regularnie instaluj uaktualnienia baz danych rozwiązania bezpieczeństwa, systemu operacyjnego oraz innego oprogramowania zainstalowanego na komputerze.

 

Bardziej szczegółowe informacje dotyczące ochrony przed trojanami ransomware są dostępne na stronie http://r.kaspersky.pl/porady_ransomware.

 

Więcej informacji na temat szkodliwych programów żądających okupu za odblokowanie dostępu do danych znajduje się na oficjalnym blogu Kaspersky Lab: http://r.kaspersky.pl/blog_ransomware.

 

Szczegóły techniczne dotyczące trojana Locky są dostępne w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: http://r.kaspersky.pl/locky.

 

Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed trojanem Locky i wykorzystywanymi przez niego modułami.

 

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

 

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/nowosci.



Redakcja CentrumPR informuje, że artykuły, fotografie i komentarze publikowane są przez użytkowników "Serwisów skupionych w Grupie Kafito". Publikowane materiały i wypowiedzi są ich własnością i ich prywatnymi opiniami. Redakcja CentrumPR nie ponosi odpowiedzialności za ich treść.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl
logo: Kaspersky Lab Polska Sp. z o.o. Kafito

Komentarze (0)


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl
Opublikuj własny artykuł
Opublikuj artykuł z linkami

Kalendarium

Przejdź do kalendarium »

dodaj wydarzenie »

Ostatnio dodane artykuły

dodaj artykuł »