Forró hétvége: brutálisan terjed a Locky zsarolóvírus

Néhány hetes kihagyás után a kiberbűnözők ismét felkarolták a Locky zsaroló programot, és nagyon intenzív vírusterjesztésbe kezdtek. Ezúttal is e-mailekben érkezik a veszedelem.
 

A kiberbűnözők az utóbbi időben elkezdték elveszteni a lelkesedésüket a Locky zsaroló program iránt. Helyette inkább a Jaff nevű ransomware-t részesítették előnybe, különösen ami a Necurs botnet üzemeltetőit illeti. A rengeteg fertőzött számítógépet magában foglaló Necurs korábban jelentős szerepet kapott a Locky szaporításában, de aztán májusban teljesen átállt a Jaff terjesztésére. Minden bizonnyal azért, mert ez többet hozott a zsarolók konyhájára.
 
Csakhogy június közepén megtörtént az, amire a kiberbűnözők sem számítottak. A Kaspersky Lab víruskutatói találtak egy sebezhetőséget a Jaff kódjában, amelynek kihasználásával el tudták készíteni a dekódoló szoftvert. Ezt pedig ingyenesen közzétették a RakhniDecryptor szoftver formájában, és ezáltal lehetőséget adtak a felhasználók számára, hogy váltságdíj kifizetése nélkül akkor is hozzájuthassanak a fájljaikhoz, ha azokról nem volt biztonsági mentésük. Mindez pedig mellbe vágta a kiberbűnözőket, akik napokon belül reagáltak a történtekre: a Necurs a Jaffről visszaváltott a Locky terjesztésére. Vélhetőleg azért, mert ez utóbbi zsaroló programnak a megjelenése óta nincs igazi ellenszere, így a csalók nagyobb valószínűséggel tudnak pénzhez jutni az áldozataiktól.
 
A mostani Locky-kampányt a Cisco Talos csapata is megerősítette. Az elemzéseik szerint valóban nagy intenzitással terjed a hírhedt zsaroló program. Mindezt mi sem mutatja jobban, mint hogy a globális spamforgalom 7,2 százaléka a Locky térhódítását szolgálja. Azaz minden hetedik kéretlen levélből ez a zsaroló program ugorhat elő.  
A Locky ezúttal is olyan elektronikus levelek révén kerülhet fel a PC-kre, amelyek üzenetében az áll, hogy a melléklet fontos számlát, rendelés visszaigazolást stb. tartalmaz. A csatolmány egy tömörített, ZIP-kiterjesztésű fájl, amely egy exe állományt foglal magában. Amennyiben a megtévesztett felhasználó ezt elindítja, akkor a fertőzés és a fájlok rombolása azonnal megkezdődik. A károkozó több tucat kiterjesztést tartalmazó lista alapján válogatja ki a kompromittálandó állományokat, amiket végleg használhatatlanná tesz. Kivételt képeznek ez alól a Windows rendszerkönyvtárai, amelyeket a Locky érintetlenül hagy annak érdekében, hogy a számítógép működőképes maradjon, és lehetővé tegye a váltságdíj kifizetését.
 
Hibás a Locky, de vajon meddig?
 
A Locky új variánsa a kiberbűnözők szempontjából nem sikerült tökéletesre: a nagy kapkodásukban vélhetőleg hibás példányt kezdtek terjeszteni. Ez ugyanis kizárólag Windows XP és Windows Vista alatt tud elindulni. Windows 7 és újabb Windows operációs rendszerek alatt a DEP (Data Execution Prevention) védelem megakadályozza a futását. Ugyanakkor minden bizonnyal csak idő kérdése, hogy a vírusírók kiküszöbölik ezt a problémát, így nem érdemes csak erre hagyatkozni a védekezés során. Sokkal fontosabb a naprakészen tartott, korszerű, többrétegű vírusvédelem, valamint a rendszeres biztonsági mentés.