Týdny od objevení malware Locky stále napadá a šifruje infikované počítače. Jak to dělá a jak se bránit?

  |   We Live Security

Win32/Filecoder.Locky.A je ramsonware, který šifruje více než 100 typů souborů (od obrázků až po databáze) na pevných, vyměnitelných i síťových discích. Po spuštění se nakopíruje do lokace %temp%\­svchost.exe a přidá do registrů záznam, který zajistí spuštění při každém startu infikovaného počítače.

1458572160_woman-typing-writing-windows.jpg

K infekci dochází při otevření infikované přílohy e-mailu. Příloha se většinou „tváří“ jako Word nebo Excel soubor, která však obsahuje škodlivé makro. Pamětníci si jistě pamatují, že ze makroviry nejsou nic nového, jen na nějaký čas téměř zcela vyklidily pole. Společnost ESET zaznamenala variantu, která v infikované příloze nemá Locky přímo, ale stahuje jej pomocí trojanu Nemucod.

WLS locky1

Po infekci počítače Locky zašifruje soubory a na pozadí plochy zobrazí výzvu k zaplacení výpalného. Všechny instrukce ohledně platby odkazují na TOR a platba probíhá v bitcoinech.

Jaká je obrana?

Na ransomware platí jedině pravidelná záloha. Vzhledem k faktu, že Locky dokáže šifrovat i síťové disky, musí jít o offline úložiště. Pak není problém počítač zformátovat a použít zálohy. Druhou variantou je samozřejmě virtuální prostředí, u kterého se dá vrátit do některého z předchozích stavů operačního systému.

Důležitou úlohu hraje i pravidelně aktualizovaný antivirový program (nejlépe se zapnutým systémem včasného varování) a operační systém, včetně programů třetích stran (Adobe, Java apod.)



Dvojklik