Újra Word dokumentumokban terjed a hírhedt Locky vírus

A Locky zsaroló program készítői úgy döntöttek, hogy visszatérnek az eredeti vírusterjesztési módszerükhöz, és Word dokumentumokban juttatják fel a PC-kre a kártékony szerzeményüket.
 

A Locky az év eleje óta nagyon sok üzleti és magán felhasználónak okozott fejtörést. Nem is kicsit, hiszen ha egy számítógépre felkerült, akkor azon - biztonsági mentések hiányában - akár helyreállíthatatlan károkat is képes volt okozni. Az ártalmas program fájlok titkosításával élt vissza, majd zsarolta meg az áldozatokat. A Locky ezzel a rossz szokásával sajnos azóta sem hagyott fel, és időről időre egyre intenzívebb terjedésbe kezd. 

A Locvky készítői - hasonlóan más vírusírókhoz - folyamatosan keresik, próbálgatják azokat a technikákat, amelyek révén a lehető legtöbb számítógépet tudják kompromittálni. Kezdetben a zsaroló program olyan Word dokumentumok révén terjedt, amelyek egy makró segítségével járultak hozzá a rendszerek megfertőzéséhez. Aztán a Locky áttért a JavaScript alapú károkozásokra, majd nemrégen a WSF (Windows Script File) alapú vírusterjesztést állította középpontba. 

Vissza a gyökerekhez

Az elmúlt 2-3 hét ismét változásokat hozott a Locky életében, amely érdekes módon visszatért az eredeti technikájához, azaz ismét a makrókat hívta segítségül. A problémát tetézte, hogy a terjesztői augusztus 9-én, 11-én és 15-én különösen intenzív kampányba kezdtek, aminek eredményeként rengeteg fertőzött e-mail landolt a postafiókokban.

A kártékony elektronikus levelek mellékletében az esetek többségében DOCM kiterjesztésű fájlok kaptak helyet. Amennyiben ezeket a felhasználó megnyitotta, akkor a Word alkalmazás egy figyelmeztetést jelenített meg azzal kapcsolatban, hogy makrók futtatására kellene sort keríteni, ami veszélyeket rejt. Ha a felhasználó ennek ellenére jóváhagyta a makrók futtatását, akkor a káros kód elkezdte letölteni az interneten keresztül a Locky fájlját, amelyet aztán el is indított. Ezzel kezdetét vette a fájlok titkosítása. 
A Cisco kutatói korábban arra is rávilágítottak, hogy korántsem csak DOCM formátumú fájlokkal lehet probléma. A vírusterjesztők ugyanis rájöttek arra, hogy ha a biztonságosabbnak vélt, makrókat nem támogató DOCX kiterjesztéssel látják el a leveleik mellékletét, akkor a felhasználók kevésbé gyanakodnak. Ugyanakkor az Office a DOCX dokumentumok megnyitásakor felismeri, hogy azok valójában DOCM fájlok, és ennek megfelelően hajtja végre a feladatait.

A Locky példányok mennyisége folyamatosan növekszik, és a kapcsolódó technikák, eszközök kampányonként rendszeresen változnak. Ebben az esetben az látjuk, hogy elmozdulás történt a JavaScript alapú vírusletöltésektől a DOCM formátumra épülő fertőzések irányába" - nyilatkozták a FireEye kutatói. Majd hozzátették, hogy napjainkban a ransomware programok aránya már meghaladja a korábban mindennél nagyobb számban terjedő banki trójaiak mennyiségét, ami azt jelenti, hogy a zsaroló programok jövedelmezőbbé váltak a kiberbűnözők számára.

A zsarolóvírusok ellen korszerű víruskeresőkkel és rendszeres biztonsági mentésekkel kell védekezni. Emellett nagyon körültekintően kell bánni az ismeretlen forrásból származó e-mailekkel, levelekkel és a makrók engedélyezésével.