Orosz hackerek állhatnak a Locky vírus mögött
Talán már hallott a legfrissebb ransomware-ről, a Locky vírusról. Ha még nem, tudnia kell, hogy a kártevő már legalább 40.000 számítógépet sikeresen megfertőzött. Az elért pusztítás terén sokak szerint már utolérte „testvérét”, a TeslaCrypt vírust, de még a CryptoWall vírus mögött van. A legtöbb kárt Németországban, az USA-ban, Franciaországban, Japánban, Kanadában és Ausztráliában okozta. Habár már hetek óta felbukkant, egyes antivírus programok még nem képesek észlelni. Szerencsére a biztonsági szakértők folyamatosan keresik a Locky vírussal szembeni legjobb módszereket.
Ahogyan azt már említettük, a Locky vírus csak néhány hete látott napvilágot, amikor a hollywood-i presbiteriánus orvosi központ rendszerét zárta le, és sikeresen kikényszerített 3,4 millió dollárt. Azóta már a vírus lefordított változatai is felbukkantak. A Locky zsarolóvírussal kapcsolatos legérdekesebb információ az, hogy elkerüli az orosz nyelvű területeket, még ha a rendszerbe is jut, leállítja működését. Ugyanez mondható el a Cerber vírus nevű másik ransomware-ről, amely egyértelműen elkerüli Ukrajnát, Fehéroroszországot, Grúziát és Oroszországot. Emiatt sokan feltételezik, hogy a Locky és sok hasonló vírus orosz nyelvterületről származik. A biztonsági szakértők a Dyre vírus (avagy Dridex) fejlesztőit feltételezik lehetséges tetteseknek, ez egyébként egy bankokat célzó hírhedt trójai. A szakértők szerint a Locky hasonló terjesztési módszert használ, továbbá potenciálisan óriási hasznot hajthat, ami természetesen elengedhetetlen a „főállású” hackerek számára.
Talán érdekli, hogy hogyan válthatott ki ekkora hatást ez a vírus. A vírus fő érdekessége, hogy titkosítja az áldozatok fontos fájljait, sőt, akár teljes hálózatok tartalmát is. Ezt követően, mikor az áldozat megnyitna egy-egy fájlt, a fertőzés értesíti, hogy a hozzáférést csak a Locky Decrypter megvásárlásával kaphatja vissza. A követelt váltságdíj adataink szerint változik, vannak, akik 400 dolláros összegről számoltak be, míg egyes vállalatok több millió dolláros veszteséget jelentettek. Azt azonban nem tudni, hogy az adatokat végül visszakapták-e a fizetés után. A legszerencsésebb áldozatok azok, akik előre biztonsági másolatokat készítettek fájljaikról. Habár a hasonló ransomware-ek automatikusan létrehozzák a visszaállításhoz szükséges véletlenszerű kódot, a Locky különleges rendszer segítségével továbbítja ezt a kódot. A szakértők szerint ez az egyik ok, amiért az elmúlt időszak legbonyolultabb zsarolóvírusának nevezhető.
A ransomware félrevezető e-mailekhez csatolt fertőző fájlok formájában terjed. Általában Word dokumentumban rejtőzik el, de sokan találkoztak már fertőző JavaScript fájlokkal is. Sokakat azonnal csőbehúz a „Számla” cím, amely egyébként a makrók engedélyezését kéri. A Microsoft alapértelmezésként nem meglepő módon tiltja a makrókat, hogy nehezítse az ilyen vírusok terjedését. Ha azonban ezt valaki engedélyezi, a dokumentum letölti a Locky vírust. Amíg az IT szakértők továbbra is keresik a Locky ransomware ellen használható legjobb módszert, nagyon fontos, hogy a felhasználók ne nyissanak meg kétes leveleket, továbbá készítsene biztonsági mentéseket a fontos fájlokról, és ne látogassanak gyanús weboldalakat.