Компьютер может потерять все данные из-за всего одного файла MS Word

В 2016 году мы стали свидетелями мощного возвращения многих типов программ-вымогателей, и ситуация стала еще опаснее, поскольку в последнее время на долю программ-криптовымогателей (шифрующих пользовательские данные с целью получения выкупа) приходится большинство заражений.

В последнее время эксперты по кибербезопасности продолжают обнаруживать новый тип вируса-вымогателя под названием Locky, который использует алгоритм шифрования AES для шифрования данных и файлов в сетевых папках общего доступа. Способ заражения и распространения этого вируса-вымогателя через интернет также на удивление прост: Microsoft Word.

Ваш компьютер будет зашифрован, когда вы включите макросы для просмотра содержимого файла Word.

В частности, Locky скрывается в файле Word с прикрепленным вредоносным макросом и распространяется через электронные письма, выдаваемые за счета-фактуры, договоры купли-продажи или содержащие подозрительный контент. Когда получатель письма активирует макрос для просмотра содержимого этого файла Word, Locky незаметно загружается с сервера хакера и немедленно шифрует все файлы на зараженном компьютере.

Этот вирус-вымогатель сканирует весь ваш жёсткий диск и даже сетевые папки, чтобы найти зашифрованные файлы. При этом он пропускает системные файлы/папки, такие как tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot и Windows, чтобы пользователи могли по-прежнему загружать Windows в обычном режиме.

Все файлы после шифрования алгоритмом AES будут переименованы в [unique_id][identifier].locky. Более того, Locky удалит всю информацию, необходимую для восстановления системы, чтобы пользователи не имели возможности восстановить свои данные.

Наконец, вредоносная программа меняет обои рабочего стола на изображение, предупреждающее жертву о том, что произошло с её данными, а также ссылки на страницу расшифровки и требование выкупа в размере около 0,5 биткойна (более 200 долларов США) за восстановление файлов. У жертвы есть только два варианта: либо переустановить всю систему, либо смириться с потерей данных, либо заплатить хакеру кругленькую сумму.

Заплатить выкуп (биткойн) или смириться с потерей всех данных?

По сути, Locky по-прежнему использует те же методы, что и другие ранее обнаруженные программы-вымогатели, например, возможность полностью менять имя зашифрованного файла, чтобы затруднить восстановление данных, подобно Cryptolocker. Однако он ещё более опасен, поскольку способен шифровать данные даже в сети общего доступа, что представляет угрозу для крупных компьютерных систем.

Компания по информационной безопасности «Лаборатории Касперского» признала, что если жертвы попали в подобную ситуацию, у них нет иного выбора, кроме как заплатить хакерам выкуп — как это сделала вчера Голливудская пресвитерианская больница, заплатив 17 000 долларов в биткоинах в обмен на мир.

Что делает Locky на компьютере пользователя.

В настоящее время этот вирус-вымогатель продолжает распространяться со скоростью 4000 новых заражений в час, или примерно 100 000 в день в Германии, Нидерландах, США, Хорватии, Мексике, Финляндии... Удивительно, что в 2016 году файл Word мог зашифровать все данные пользователя!

По словам Три Тук Тре