Заразата се разпространява по следния начин:
- Пристига по имейл с прикачен Word документ с макроси.
- Веднага щом документа бъде отворен, заразява компютъра.
- Засича всички защитени копия, които Windows е направил и криптира данните.
- Веднага щом приключи, отваря файл в NotePad, наречен “_Locky_recover_instructions.txt” с инструкция за декрептиране.
Ако подозирате дали сте били атакувани от „Locky“ може да потърсите документ на своя компютър с имената:
“_Locky_recover_instructions.txt”
“_Locky_recover_instructions.bmp”
Ако въпросните файлове присъстват на компютъра Ви, значи сте били вече похитени.
Когато прикаченият Word файл се отвори, изтегля “Locky”, и това, което наблюдаваме в повечето случаи е, че идва от легален уебсайт, който е бил компроментиран. Там именно се съхранява въпросния заключващ вирус. Това са някои от URL адресите, съдържащи зловредни програми:
Имейлът, който пристига при жертвата е имитиращ фактура, като този тук:
В този случай, прикаченият Word файл е озаглавен „invoice_J-67870889.doc“
Някои от разновидностите на зловреден код използват PowerShell конзола, за да се разпространяват и изтеглят „Locky: криптовируса.
Ние от Panda Security Ви съветваме да бъдете много внимателни и проследявате всички свои писма! Проверете източника им, ако трябва се обадете на човека, с който си кореспондирате, за да удостоверите получаването на файл. В никакъв случай не кликвайте и отваряйте съобщения, без да сте сигурни за техния произход. Дръжте резервно копие на ценната си информация на външен хард диск или флашка, използвайте лицензен антивирусен софтуер и сканирайте регулярно Вашия компютър. Напомняме за нашите продукти: Panda Internet Security, Panda Global Protection и Panda Gold Protection, които предлагат следните два модула, като превантивна защита от злонамерен софтуер:
- Щит за данни (Data Shield) – наличен в Panda Internet Security, Panda Global Protection и Panda Gold Protection, осигурява защита от неоторизиран достъп до посочени от потребителя папки и файлове. Чрез този компонент може да се предотврати действието на крипто-вирусите (CryptoLocker, CTB-Locker, …) които криптират данните на потребителя и искат откуп за възстановяването им.
- Контрол на приложенията (Application control) – Използването на Контрол на приложенията (наличен в Panda Antivirus Pro, Panda Internet Security, Panda Global Protection и Panda Gold Protection) позволява на потребителите да контролират кои и какви приложения да се стартират на компютъра.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
Повече за Panda Security
office@computel.bg
plovdiv@computel.bg