Una dintre ultimele variante de malware de tip ransomware este cea cunoscuta sub denumirea de Locky. Fișierele stocate în PC-urile infectate cu Locky sunt criptate și redenumite cu extensia „.locky”(de unde și denumirea acestui malware).
După criptarea fișierelor, imaginea de fundal (wallpaper) este schimbată cu o imagine prin care li se comunică utilizatorilor că fișierele lor au fost criptate și că trebuie să acceseze unul dintre link-urile afișate pentru a citi instrucțiunile referitoare la modalitatea prin care-și pot răscumpăra fișierele (plata unei sume de bani în moneda virtuală Bitcoin).
Conform informațiilor deținute până în prezent de specialiștii CERT-RO, acest malware se răspândește prin mesaje email de tip SPAM care conțin atașamente malițioase, sub forma unor documente Microsoft Word/Excel ce conțin macro-uri VBS (Visual Basic Script), sau sub forma unor arhive „.ZIP” ce conțin cod JavaScript.
Deși versiunile recente ale suitei Microsoft Office au macro-urile dezactivate în mod implicit, atacatori folosesc o tehnică de inginerie socială prin care aceștia sunt păcăliți să le activeze și să ruleze macro-ul malițios. Astfel, daca utilizatorul deschide documentul atașat, acesta va vedea un document ce conține caractere aleatoare (neinteligibil) și este îndemnat să activeze macro-urile pentru a afișa conținutul documentului, după cum se poate observa în imaginea de mai jos.
Odată activate macro-urile, codul VBS va fi rulat și va descărca un fișier binar malițios (Locky), care la rândul sau va rula și va cripta fișierele.
Măsuri de remediere
În cazul în care constatați sau aveți suspiciunea că PC-ul dumneavoastră a fost infectat cu acest malware, vă recomandăm să efectuați următoarele operațiuni:
1. Deconectați urgent toate mediile de stocare externe conectate la PC (stick de memorie, card de memorie, hard disk extern etc.), de-conectați cablul de rețea și dezactivați orice alte conexiuni de rețea (WiFi, 3G etc.);
2. [Opțional]. În cazul în care se urmărește investigarea ulterioară a incidentului, sau încercarea de a recupera cheia de criptare din memorie, realizați cât mai rapid o captură de memorie (RAM), utilizând o unealtă specializată, precum DumpIT:
3. Opriți PC-ul (shutdown);
4. [Opțional]. În cazul în care se urmărește investigarea ulterioară a incidentului, realizați o copie (imagine) a hard-disk-ului de pe care rulează sistemul de operare, utilizând o unealtă specializată, precum dd:
5. Porniți PC-ul utilizând un sistem de operare care se încarcă de pe un CD/DVD sau USB (LiveCD, LiveUSB), majoritatea distribuțiilor de Linux moderne oferind această facilitate. Copiați pe un alt mediu de stocare toate fișierele de care aveți nevoie, inclusiv pe cele care au fost compromise (criptate);
6. Utilizați una sau mai multe soluții de securitate antivirus/antimalware pentru scanarea PC-ului și dezinfectare acestuia;
7. Încercați recuperarea unor versiuni anterioare ale fișierelor compromise, folosind tehnologia Shadow Copy din sistemele de operare Windows. Acest lucru este posibil numai dacă sistemul are activată facilitatea System Restore. Puteți utiliza facilitatea nativă “Previous Versions” (click dreapta pe fișier – Properties – Previous Versions) sau o unealtă specializată, precum ShadowExplorer:
8. Încercați recuperarea fișierelor compromise utilizând o unealtă specializată de tip „Data Recovery”. Există o gamă variată de unelte de acest gen, inclusiv gratuite, precum PhotoRec:
9. [Opțional] Re-instalați complet sistemul de operare. Aceasta este singura metodă prin care puteți fi siguri că sistemul nu mai conține malware sau rămășițe de malware.
Recomandarea CERT-RO este să nu încercați să plătiți recompensa solicitată de atacatori, existând riscul să nu re-dobândiți accesul la fișierele criptate nici după efectuarea plății. De asemenea, plătind recompensa solicitată, contribuiți în mod direct la încurajarea acestui tip de activități frauduloase.