Sűrűn váltogatja a ruháját a Locky zsaroló program

A Locky zsaroló program elképesztő módon váltogatja az e-mailes trükkjeit. Sajnos a végeredmény mindig ugyanaz: használhatatlan fájlok, sarokba szorított felhasználók.
 

A Locky zsaroló program (ransomware) idei térhódítása nagyon komoly károkat okozott szerte a világon. A kártevő a magyar felhasználók számítógépeit sem kímélte, és sok esetben helyreállíthatatlan pusztítást végzett. Sajnos egyelőre semmi jele nincs annak, hogy a Locky egy kicsit is háttérbe szorulna, hiszen a Trend Micro telemetriai adatai szerint továbbra is az egyik legaktívabban terjedő kártékony programnak számít. Amikor felkerül egy számítógépre, akkor azon titkosítja a felhasználók fájljait, majd váltságdíjat követel azon információkért, amelyek birtokában esély nyílhat a kompromittált állományok dekódolására. Ugyanakkor a biztonsági cégek nem javasolják a csalók követeléseinek teljesítését, mivel nincs garancia arra, hogy a fizetést követően valóban megérkeznek a szükséges adatok, dekódoló kulcsok.
 
Minden egy félresikerült kattintással kezdődik
 
A Trend Micro legutóbbi jelentése szerint a zsaroló programok 71 százaléka elsődleges terjedési csatornájának az elektronikus levelezést tekinti. A romboló károkozók elsősorban olyan e-mailekben terjednek, amelyek mellékletében legalább egy csatolt fájl is megtalálható. Ez az esetek nagy részében valamilyen Office dokumentum, ami makrókat is magában foglal. A levelek üzenete, illetve a mellékelt dokumentumok pedig megtévesztő szövegeket tartalmaznak, és arra próbálják rávenni a felhasználókat, hogy engedélyezzék a makrók futtatását. Amennyiben ez megtörténik, akkor a károkozók előtt szabaddá válik az út.  
Az elektronikus vírusterjesztésben rejlő lehetőségeket a Locky mögött meghúzódó kiberbűnözők is maradéktalanul kihasználják, sőt egyfolytában trükköznek. Az év elején a legtöbb Locky példány .doc kiterjesztésű, Word dokumentumok felhasználásával került a számítógépekre. Aztán márciusban és áprilisban a vírusterjesztők bizonyos szintig áttértek a .RAR kiterjesztésű, tömörített fájlok használatára. A nyáron pedig tovább finomítottak a módszereiken, és igen változatossá tették a Locky terjedését. Az ártalmas küldeményeikben JavaScript, VBScript, és WSF (Windows Scripting File) kiterjesztésű fájlok is felbukkantak. Aztán az elmúlt hetekben ismét egy taktikaváltás következett be, aminek eredményeként a fertőzések egy része már DLL és .HTA állományokon keresztül zajlott. Persze eközben az Office dokumentumokkal történő, makrós visszaélések is folyamatosan jelen voltak.  
Nem könnyű a védekezés
 
Mivel a Locky terjesztési módszerei hétről hétre változnak, ezért nem könnyű lépést tartani a csalókkal. A védelmi intézkedések, a vírusvédelem, illetve a tartalomszűrés folyamatos finomhangolása elkerülhetetlen. A biztonsági szakértők azt javasolták, hogy több szinten kell megközelíteni a problémát: szükség van a feketelistázásra, heurisztikus és hírnév alapú szűrésekre, valamint nem utolsó sorban azon technológiákra, amelyek képesek a kártékony makrók detektálására. Emellett nélkülözhetetlen a felhasználók képzése, mivel az esetek többségében nagyon megtévesztő küldemények kerülnek a postafiókokba. Ezek sokszor látszólag megrendeléseket, bankkivonatokat vagy egyéb pénzügyi dokumentumokat hordoznak a mellékletükben. A valósában azonban ezek hamis fájlok, amik kizárólag a felhasználók megtévesztését szolgálják, és a fájlmegnyitást, illetve a makrók futtatásának engedélyezését igyekeznek elérni.