Учеными этой сферы стал выявлен новый тип программного обеспечения, наносящий вред вашей информации, оно зашифровывает компьютерные сведения и для расшифровки файлов нужно оплатить крипто-валютой BITCOIN.
Вышедший провирус, носящий имя "Locky" распространяется не очень привычным путем - при открытии Word-файла, в нем срабатывают макросы, что позволяет запуститься вирусу. Прячется он под выставленные счета и приходит читателю по почте. Закрепленный файл с именем invoise _J-178967.doc, при вскрытии данного документа абонент увидит большое количество непонятных символов а также ему придет сообщение о том, что если текст не ясный, то откройте макросы.
После открытия, зловредная программа начинает грузиться на компьютер. Первоначально вирус приписывает своему потерпевшему шестнадцатизначный код и позже приступает к сканированию локальных дисков. В зашифровке материалов locky списывает файлы по принципу идентификатора.
Вирус нацелен на файлы с расширениями:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Вирус игнорирует папки:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
В следующем шаге локи создает на рабочем столе папки и в них создает документ, в котором описывается чем заражен компьютер пользователя, так же он выдает инструкцию о том, как выкупить свои данные обратно. Чтобы человек не забыл о выкупе, программа меняет фоновое изображение рабочего стола. В ссылке отправленной жертве, даются указания куда перевести биткоины. В следствии оплаты, дается ссылка на возврат данных.
Основные отличия locky от других крипто-вирусов.
- Запускается с макросов MS Office
- Требует оплату в крипто-валюте bitcoins
- Меняет фоновое изображение рабочего стола на свою картинку