Ако сте умерен технолог, всеки път, когато чуете за заразена система, обикновено мислите за изпълним код, който по някакъв начин е отвлечен от най-сигурните си функции. Инфекциите могат да се разпространят по много начини, но едно нещо остава сигурно: връзката между вируси и изпълним код е толкова силна, че не е задължително да смятаме, че трябва да се предпазим от файлови типове като JPEG, PNG изображения и MP3 файлове. Или ние? Противно на предишното твърдение, първите два типа файлове, които споменах, са били използвани за заразяване на компютрите чрез системи за социални медийни съобщения във Facebook и LinkedIn, съобщени от Jon Fingas за Engadget на 27 ноември 2016 г.

Какво става?

На 18 февруари 2016 г. Symantec намери доста странен софтуер, който се оказа нов вариант на ransomware разпространение в мрежата (ако не знаете какво е ransomware, обърнете се към това). Този конкретен щам - известен като Locky - се разпространява чрез спам имейли с прикачени файлове в размер на около десет до двадесет хиляди жертви на седмица между януари и март 2016 г. Не е задължително да шокираме видерите да се разпространяват по този начин. Имейл съобщенията с ZIP прикачени файлове са стратегията за инокулиране от началото на 90-те.

После се случи нещо друго.

Към края на ноември 2016 г. потребителите на Facebook и LinkedIn започнаха да виждат съобщения, изпратени с прикачени файлове. Те изглеждат доста безопасни, но когато се отворят, разкриха нов щам на Locky, който щеше да криптира файловете на системата и да ги отключи, само ако жертвата плати откуп между $ 200 и $ 400. Най-шокиращата част от това е, че вирусът се разпространяваше чрез изображения, а не като конвенционален екземпляр.

Не всичко е както изглежда

Въпреки че изображенията със сигурност се използват за инфектиране на хора в социалните медии, това не е точно как изглежда! Погледнах малко по-дълбоко механизма на Locky и неговите хлъзгави начини и изглежда, че има повече история, отколкото куп JPEG, които са "излезли да ви".

Първо, това, което разпространявате, когато изпращате зловреден софтуер на някого, е впечатлението, че давате на някого изображение в социалните медии. Има грешка във Facebook и кода на LinkedIn, който позволява определени файлове да бъдат прехвърлени с иконата на изображението, което накара получателя да вярва, че са получили безобидна картина на някоя котка за домашни любимци или нова градина. Това, което реципиентът всъщност изтегля, е HTA файл, много стара изпълнима програма за Windows, която се намира от 1999 г. насам (още един елемент за добавяне към списъка с причини, поради които софтуерът през 90-те години е бил напълно побойник).

По принцип приложенията на HTA са като EXE, с изключение на това, че са наслоени върху "mshta.exe" и са били използвани от администраторите, за да извършват бързо промени в системите. Тъй като имат пълното "доверие" на системата, на която те работят, те са свободни да правят всякакви опустошения, които им позволява да им се даде кодекс.

Как да се предпазим от инфекция

След като сте заразени с Locky, няма много какво да направите, освен да се надявате да намерите приложение против злонамерен софтуер, което да го премахнете, докато сте стартирани в безопасен режим. Но предотвратяването на инфекцията на първо място е доста лесно. Когато получите файл с изображение във Facebook и нямате предварителен преглед като изображението по-долу, вероятно ще бъдете подканени да го изтеглите.

След като изтеглите файла, проверете разширението му. Ако не каже JPG, JPEG, PNG или каквото и да е, което изглежда като картинка, това вероятно е вирус. Видяхме Locky във формат HTA, но може да се появи и в други типове изпълними кодове (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI и т.н.). Просто проверявайте файловите разширения и внимавайте с всичко, което не разпознавате. Един сигурен начин да проверите дали полученият от вас файл е изображение е да видите дали Windows Explorer ви дава визуализация, когато промените стила на дисплея на "Големи икони".

Имате ли други съвети, които да споделите? Кажете ни в коментар!