Grožnja Locky zaklepa dokumente

Win32/Filecoder.Locky.A

je izsiljevalska grožnja, ki se še naprej uspešno širi po celem svetu. Na računalnikih svojih žrtev šifrira več kot 100 različnih vrst datotek – od slik, dokumentov, video posnetkov do podatkovnih baz. Škodljiva koda se kopira tudi v datoteko %temp%svchost.exe ter doda vnos v register, s čimer si zagotovi zagon ob vsakem zagonu sistema.

Grožnja se najpogosteje širi s pomočjo elektronske pošte. Uporabnik lahko prejme sporočilo, ki navidez prihaja z lastnega e-naslova, od znancev ali povsem naključnih naslovov. Sporočilo lahko prispe prazno, brez besedila, ime priponke pa prejemnika zavaja, češ da gre za neplačan račun, ponudbo, pomemben dokument itn.

Sporočilo vključuje arhivsko datoteko ZIP, v kateri je skrčena JavaScript datoteka (antivirus ESET jo prepozna pod imenom JS/TrojanDownloader.Nemucod). Priponka lahko vključuje tudi Word ali Excel datoteke, ki za okužbo sistema izrabijo makroje. Trojanski konj Nemucod je v zadnjem tednu predstavljal kar 39,27 % vseh zaznanih groženj v Sloveniji!

Trojanec Nemucod ob zagonu na računalnik nato prenese drugo škodljivo kodo, v našem primeru izsiljevalsko grožnjo Locky. Win32/Filecoder.Locky.A nato šifrira vse datoteke, do katerih ima dostop – na trdih diskih, USB ključkih, zunanjih diskih, omrežnih pogonih itn. Enako velja za datoteke, ki jih hranite v oblaku (Google Drive, Dropbox ipd.).

Trojanski konj se po zaključenem šifriranju odstrani, preko protokola HTTP pa na oddaljen strežnik pošlje informacije o operacijskem sistemu, sistemskih nastavitvah in seznam šifriranih datotek. Navodila za plačilo se nahajajo v TOR povezavi, kupnina pa se izvrši v digitalni valuti Bitcoin.

Kako se lahko zaščitite?
– Poskrbite za varnostne kopije svojih podatkov. Mediji z varnostnimi kopijami (zunanji trdi disk, USB ključki itn.) naj bodo vedno izklopljeni – trojanski konj lahko šifrira tudi dokumente, ki so shranjeni tam.
– Zaščitite svoj sistem z zadnjimi različicami svojih protivirusnih rešitev in poskrbite, da se redno posodabljajo z virusnimi definicijami.
– Redno posodabljajte svoj operacijski sistem, spletne brskalnike in drugo programsko opremo. V kolikor še vedno uporabljate Windows XP, potem resno razmislite o nadgradnji na novejši sistem.
– Ne odpirajte sumljivi priponk, ki jih prejmete v svoj e-poštni predal.
– Uporabljajte rešitve za blokiranje neželene pošte (antispam) – te lahko preprečijo, da nevarna e-pošta zaide v vašo mapo za prejeto pošto.