Már csak ez hiányzott: társra lelt a Locky zsarolóvírus

A hírhedt Locky zsaroló program ismét nagy lendülettel vetette bele magát a PC-k fertőzésébe. Ráadásul egy társat is találat magának, amely semmivel sem kegyesebb a fájlokhoz.
 

A Locky zsaroló program 2016-os randalírozásával az egyik legtöbb vesztséget okozó számítógépes kártevővé nőtte ki magát. A PC-ken fájlokat titkosított, ellehetetlenítette a Windows betöltését, majd megzsarolta a felhasználókat. Arról volt felismerhető, hogy kezdetben minden kompromittált fájl nevét .locky kiterjesztéssel egészítette ki. Később aztán már más neveket választott, de a zsarolásról nem tett le.
 
A Locky terjesztésében korábban a legnagyobb szerepet a Necurs botnet kapta, amely kéretlen elektronikus levelek segítségével szaporította a kártevőt. Aztán ez a botnet más vizekre evezett (főleg a Jaff nevű ransomware-t kezdte terjeszteni), így a Locky háttérbe szorult. 2017 elején nem is igen lehetett róla hallani, mígnem áprilisban újra támadásba lendült. Erre rátett egy lapáttal júniusban, majd augusztusban. A napokban pedig teljes gőzzel kezdett terjedni az interneten.
 
Ezúttal is spammelés áll a zsaroló program térhódítása mögött. Méghozzá egy olyan alvilági kampány vette kezdetét, amelyben már több mint 70 ország érintett, azaz globális fertőzési hullámról beszélhetünk. A múlt héten volt olyan nap, amikor a Barracuda egymaga 27 millió Locky-s e-mailt szűrt ki. A Trend Micro is arról számolt be, hogy az eddig detektált kártékony e-mailek száma több tízmillióra tehető. A megnövekedett spam aktivitást a Panda Security is megerősítette.
 
A legtöbb Locky-t terjesztő e-mail Vietnámból, Indiából, Kolumbiából, Törökországból és Görögországból származik. E nemkívánatos küldemények leggyakrabban amerikai, japán, német és kínai felhasználók postafiókjaiban landolnak.
 
Van másik...
 
A mostani vírusterjesztésnek van egy további problémás jellegzetessége. Mégpedig az, hogy nem kizárólag a Locky általi fertőzéseket segíti elő. Mindez a gyakorlatban úgy valósul meg, hogy a felhasználó kap egy megtévesztően összeállított e-mailt, amely kamu megrendelést, számlát stb. tartalmaz. Az üzenetben vagy egy kártékony weboldalra mutató hivatkozás szerepel, vagy egy olyan makrókkal felvértezett dokumentum, amely a háttérben képes fájlok letöltésére. Az első órában az esetleges óvatlan kattintások hatására a Locky kerülhet rá a PC-re. Egy óra elteltével azonban már nem a Locky fájlja jut fel a számítógépre, hanem a FakeGlobe vagy más néven Globe Imposter zsarolóvírus.
 
Nem ez az első alkalom, hogy egy alvilági akció több víruson "osztozik". Azonban a Trend Micro szakemberei szerint a mostani eset azért érdekes, mert azonos funkcionalitású és célú károkozók terjesztéséről szól. Korábban pedig inkább az volt a jellemző, hogy egy zsaroló program mellett egy banki trójai vagy egyéb kémprogram terjesztése zajlott, úgymond kéz a kézben.
 
A Locky, illetve a FakeGlobe általi fertőzések onnan ismerhetők fel - azon kívül, hogy a titkosított fájlok használhatatlanná válnak -, hogy a kompromittált állományok általában .ykcol kiterjesztéssel egészülnek ki. A követelt váltságdíj összege pedig elérheti az 1000 dollárt. Ezt ezúttal sem célszerű kifizetni.
 
A védekezés szempontjából fontos a korszerű, többrétegű vírusvédelem kialakítása, valamint a biztonsági mentések rendszeres készítése, és azok megbízható helyen történő tárolása.