Od kilku dni w mojej skrzynce pojawiają się wiadomości, które rzekomo sam do siebie wysłałem.
e-mail
Takich maili przychodzi coraz więcej, najwyraźniej włamywacze komputerowi nauczyli się sprawniej omijać filtry antyspamowe. W załączniku takiego maila, zamiast pliku wykonywalnego lub dokumentu z eksploitem znalazłem coś innego – jest tam pojedynczy plik ze skryptem:
zrzut_ekranu-CUT3261123725.js (-tmp-.fr-LJvW3c) - gedit
Jak widać jest to zaciemniony kod Javascript, który ma za zadanie pobranie dalszych składników złośliwego oprogramowania. Trudno odmówić twórcom poczucia humoru – główna funkcja, która składa i pobiera malware nazywa się „instability”.
Niestety obfuskacja Javascriptu jest dość skutecznym narzędziem, bo nie każdy antywirus potrafi zablokować sam skrypt pobierający malware. Oto analiza z Virustotal.com, proszę zwrócić uwagę których producentów NIE ma na liście:
zrzut_ekranu-66
Końcowym etapem będzie instalacja złośliwego oprogramowania, które zaszyfruje dokumenty użytkownika i zażąda za nie okupu. Wyniki analizy w środowisku piaskownicy nie pozostawiają wątpliwości – to jest znany wirus o nazwie Locky:
locky
Pamiętajcie – nawet zwykły plik tekstowy w pospolitym archiwum ZIP może przynieść szkody, jeśli tylko pozwoli się na uruchomienie zawartego w nim skryptu. Wirus działa w ukryciu i wyświetla komunikaty dopiero wtedy, gdy już jest za późno. Oto taki komunikat (źródło – blog F-Secure):
locky-recover-instructions
Niestety Locky, podobnie jak Teslalocker oraz Cryptolocker coraz częściej infekują komputery w polskich firmach. Obecne wersje nie mają już błędu w implementacji algorytmu szyfrującego i odtworzenie kluczy jest już znacznie trudniejsze. Złodzieje nauczyli się także usuwać kopie migawkowe na woluminie, zatem odtworzenie danych za pomocą przywrócenia stanu sprzed infekcji będzie o wiele trudniejsze. Na szczęście nie potrafią usuwać plików z systemów obiegu dokumentów, a w kilku przypadkach pomaga sprytna sztuczka, polegająca na dołożeniu do profilu naprawdę dużego pliku (2GB) zawierającego losowe dane, opatrzonego odpowiednią nazwą. Za złośliwym oprogramowaniem Locky prawdopodobnie stoją ci sami ludzie, którzy rozsiewają konie trojańskie z serii Dridex.