Coraz więcej ofiar szkodliwego programu Locky #prasówka

Coraz więcej ofiar szkodliwego programu Locky #prasówka11.04.2016 11:39
Łukasz Maślanka

Eksperci z Kaspersky Lab przeprowadzili analizę trojana Locky szyfrującego dane, który aktywnie rozprzestrzenia się w ponad 100 krajach na całym świecie. Ofiary, od których cyberprzestępcy próbują wyłudzić okup za odzyskanie zaszyfrowanych danych, zostały zlokalizowane także w Polsce.

Z analizy próbek przechwyconych przez ekspertów z Kaspersky Lab wynika, że trojan Locky to całkowicie nowe zagrożenie typu ransomware, które zostało napisane całkowicie od nowa. Czym zatem jest Locky i jak użytkownicy mogą się przed nim zabezpieczyć?

Jak dochodzi do infekcji

Ofiary trojana Locky otrzymują sfałszowane wiadomości e-mail, które mogą zawierać np. rzekome faktury lub potwierdzenia wykonania płatności. Większość e-maili jest napisana w języku angielskim, jednak zdarzają się także wysyłki dwujęzyczne. Gdy ofiara uruchomi załączony dokument, szkodliwy skrypt pobiera trojana i uruchamia go. Sam trojan ma rozmiar około 100 kilobajtów. Po uruchomieniu kopiuje się do tymczasowej lokalizacji i modyfikując pewne parametry wyłącza systemowy komunikat informujący użytkownika, że uruchamiany plik został pobrany z internetu i może być potencjalnie niebezpieczny. Szkodnik sprawdza, czy dany komputer nie był już wcześniej zainfekowany i wykonuje następujące operacje:

  • kontaktuje się z serwerem kontrolowanym przez cyberprzestępców i zgłasza nowy zainfekowany komputer
  • uzyskuje z serwera klucz szyfrujący wygenerowany dla konkretnej ofiary
  • wysyła do serwera informacje o wersji językowej systemu operacyjnego zainfekowanej maszyny i otrzymuje treść żądania okupu w odpowiednim języku
  • zapewnia sobie start wraz z każdym uruchomieniem systemu operacyjnego
  • szyfruje pliki o określonych formatach (kilkadziesiąt rozszerzeń) na dyskach lokalnych i sieciowych (zaszyfrowane pliki posiadają rozszerzenie .locky)
Fragment kodu trojana Locky przedstawiający formaty szyfrowanych plików (źródło: Kaspersky Lab).
Fragment kodu trojana Locky przedstawiający formaty szyfrowanych plików (źródło: Kaspersky Lab).

Na koniec trojan wyświetla żądanie okupu od cyberprzestępców, kończy działanie i usuwa swój kod z zainfekowanego systemu.

Żądanie okupu wyświetlane na komputerze ofiary zawiera odnośnik do strony przygotowanej przez cyberprzestępców, na które użytkownik może się dowiedzieć, w jaki sposób zapłacić okup (atakujący preferują walutę Bitcoin), by otrzymać program, który odszyfruje dane. Obecnie strona ta jest dostępna w ponad 20 językach.

Geografia ataków

Eksperci z Kaspersky Lab zlokalizowali ofiary trojana Locky w 114 krajach. Najwięcej ataków odnotowano w takich krajach jak Niemcy, Francja, Kuwejt, Indie, Chiny, Afryka Południowa, Stany Zjednoczone, Włochy, Hiszpania i Meksyk. Próby infekcji wystąpiły także w Polsce. Locky przeprowadza ataki w praktycznie wszystkich regionach świata. Na podstawie listy języków obsługiwanych na stronie umożliwiającej zapłatę okupu można określić, które państwa traktowane są przez cyberprzestępców jako główne cele.

Lista języków obsługiwanych na stronie umożliwiającej zapłatę okupu (źródło: Kaspersky Lab).
Lista języków obsługiwanych na stronie umożliwiającej zapłatę okupu (źródło: Kaspersky Lab).

Zapobieganie infekcji

W celu zabezpieczenia się przed tym trojanem Locky, a także innymi trojanami ransomware, należy podjąć następujące środki zapobiegawcze:

  • nie otwieraj załączników w wiadomościach e-mail pochodzących od nieznanych nadawców
  • regularnie wykonuj kopię zapasową swoich plików i przechowuj kopie na wymiennych nośnikach pamięci lub w chmurze — nie trzymaj ich na swoim komputerze ani na nośnikach pamięci, które są na stałe podłączone do komputera
  • zainstaluj skuteczne rozwiązanie bezpieczeństwa wyposażone w technologie ochrony przed oprogramowaniem ransomware
  • regularnie instaluj uaktualnienia baz danych rozwiązania bezpieczeństwa, systemu operacyjnego oraz innego oprogramowania zainstalowanego na komputerze

Szczegółowe informacje dotyczące ochrony przed trojanami ransomware są dostępne tutaj. Więcej na temat szkodliwych programów żądających okupu za odblokowanie dostępu do danych można przeczytać na oficjalnym blogu Kaspersky Lab

.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na