Z analizy próbek przechwyconych przez ekspertów z Kaspersky Lab wynika, że nowy trojan o roboczej nazwie "Locky" to zagrożenie typu ransomware. Wirus został napisany całkowicie od nowa i ciężko porównać go do jakiegokolwiek istniejącego już zagrożenia.
Ofiary trojana Locky otrzymują sfałszowane wiadomości e-mail, które mogą zawierać np. fałszywe faktury lub potwierdzenia wykonania płatności. Większość e-maili jest napisana po angielsku, jednak zdarzają się także maile dwujęzyczne. Gdy ofiara uruchomi załączony dokument, szkodliwy skrypt instaluje trojan na jej komputerze.
Wirus ma rozmiar ok. 100 kilobajtów. Po uruchomieniu kopiuje się do tymczasowej lokalizacji. Modyfikując pewne parametry wyłącza systemowy komunikat, że uruchamiany plik został pobrany z Internetu i może być potencjalnie niebezpieczny. Szkodnik następnie kontaktuje się z serwerem kontrolowanym przez przestępców i zgłasza nowy zainfekowany komputer. Uzyskuje z serwera klucz szyfrujący wygenerowany dla konkretnej ofiary. Wirus szyfruje pliki na dyskach lokalnych i sieciowych ofiary. Zaszyfrowane pliki posiadają rozszerzenie .locky.
Na koniec trojan wyświetla żądanie okupu od cyberprzestępców, kończy działanie i usuwa swój kod z zainfekowanego systemu.
Żądanie okupu wyświetlane na komputerze ofiary zawiera odnośnik do strony przygotowanej przez cyerprzestępców. Użytkownik dzięki temu dowiaduje się, w jaki sposób zapłacić okup (atakujący preferują Bitcoiny) by otrzymać program, który odszyfruje dane. Obecnie strona dostępna jest w ponad 20 językach.
Ofiary Trojana Locky zlokalizowano w 114 krajach. Najwięcej ataków odnotowano w Niemczech, Francji, Kuwejcie, Indiach, Chinach, Afryce Południowej, Stanach Zjednoczonych, Włoszech, Hiszpanii i Meksyku. Próby infekcji wystąpiły także w Polsce.
Zabezpieczenie przed wirusem jest dokładnie takie samo, jak przed innymi plikami typu ransomware. Przede wszystkim należy nie otwierać załączników w mailach pochodzących od nieznanych nadawców oraz regularnie wykonywać kopie zapasową swoich plików i przechowywać je na wymiennych nośnikach pamięci lub w chmurze. Ważne są też dobre i często aktualizowane programy antywirusowe.
Źródło: Kaspersky Lab
Czytaj też: Wirus Nemucod atakuje w Europie