Νέο κακόβουλο λογισμικό στο Microsoft Word

3283e7e644a6217fcd0e7a3b8eae47e6 0d9
blog banner ired inner pages

Το ransomware «LOCKY» χρησιμοποιεί τη δύναμη του Word για να σας κάνει να πληρώσετε.

Ο Λόκι ήταν ο πονηρός θεός του Πανθέου των Βίκινγκς που ξεγελούσε τους ανθρώπους με τις απάτες του. Και χρησιμοποιώντας αυτό το όνομα, το ransomware «LOCKY», προσπαθεί να εξαπατήσει τους χρήστες του Microsoft Word, προκειμένου να τους πάρει λεφτά.

Τα ransomware είναι ένα είδος κακόβουλου λογισμικού που είναι πολύ πιο επικίνδυνα από τα συνήθη malware, επειδή μπορούν να κλειδώσουν τα αρχεία ή και τον υπολογιστή μας και να μας ζητούν χρήματα για να τον ξεκλειδώσουν. Εξ’ ου και η ονομασία (ransom=λύτρα). Ένας νέος τύπος αυτούς του είδους λογισμικού λοιπόν, εμφανίστηκε – και λέγεται LOCKY – που εξαπατά τους χρήστες του Word μεταμφιεσμένο σε λογισμικό εγγράφου τράπεζας – στην συγκεκριμένη περίπτωση της εταιρίας λογισμικού για τράπεζες Dridex.

Δείτε ακόμη: Sleeper: Νέος ιός, προσοχή!

Σε μια τυπική επίθεση του Locky, τα θύματα λαμβάνουν ένα αρχείο του Microsoft Word μεταμφιεσμένο σε έγγραφο τραπεζικού λογαριασμού, που ζητάει να εκτελεστεί μια εφαρμογή μακροεντολών μέσα στον επεξεργαστή κειμένου. Εξ’ ορισμού, τα macros είναι απενεργοποιημένα στο Word (ακριβώς για να προστατευθεί ο χρήστης από τέτοιες επιθέσεις κακόβουλου λογισμικού). Αν όμως κάποιος τα έχει ενεργοποιημένα για να κάνει κάποιες εργασίες που χρειάζεται, μια μακροεντολή θα ενεργοποιηθεί από το αρχείο και θα κατεβάσει το Locky στον υπολογιστή του, σύμφωνα με αναφορά της Palo Alto Networks που έγινε στις αρχές της προηγούμενης εβδομάδας.

Εξαιτίας της ομοιότητας των εντολών που χρησιμοποιεί το Locky με το τραπεζικό πρόγραμμα της Dridex, πολλοί υποθέτουν ότι πρέπει να έχει γνώσει του λογισμικού της ο προγραμματιστής που ανέπτυξε το Locky.

Ο τρόπος που λειτουργεί το ransomware είναι το κλείδωμα και η κρυπτογράφηση αρχείων του υπολογιστή που είναι σημαντικά για το χρήστη, και μετά το λογισμικό αυτό θα πάρει τον έλεγχο των δεδομένων του υπολογιστή και θα ζητάει χρήματα για να τα ξεκλειδώσει.

Απ’ ό,τι φαίνεται, οι προγραμματιστές πίσω από το Locky ετοίμαζαν μια επίθεση κολοσσιαίων διαστάσεων. Μάλιστα, η Palo Alto Networks ισχυρίζεται ότι έχει ξεσκεπάσει 400.000 συνεδρίες που εκμεταλλεύονται τη μακροεντολή Bartallex που χρησιμοποιείται από το συγκεκριμένο ransomware.

word ransomware 01

Δείτε ακόμη: Νέο iOS malware: YiSpecter

Αντίθετα με άλλα της κατηγορίας του, η δόμηση του Locky, τύπου «command-and-control», προσπαθεί να κάνει μια αντιμετάθεση πλήκτρων και να τη φορτώσει στη μνήμη πριν κάνει την κρυπτογράφηση των αρχείων. Αυτό όμως, σύμφωνα με το PC World, μπορεί να λειτουργήσει και σαν «αχίλλειος πτέρνα» του.

«Αυτό είναι ενδιαφέρον, καθώς τα περισσότερα ransomware παράγουν ένα τυχαίο κλειδί κρυπτογράφησης τοπικά στον υπολογιστή του θύματος και μετά στέλνουν ένα κρυπτογραφημένο αντίγραφό του στον επιτιθέμενο. Αυτό επίσης παρέχει μια στρατηγική αντιμετώπισης που μπορεί να απενεργοποιήσει τη δράση του Locky με την παρεμπόδιση της επικοινωνίας του με δίκτυα command-and-control», συμπληρώνει η Palo Alto Networks.

Ο Kevin Beaumont που ανέβασε ένα post σχετικά με το ransomware, τόνισε ότι τα αρχεία που μολύνονται από το Locky αποκτούν ένα extension «.locky» όπως είναι αναμενόμενο.

Ο Beaumont προσθέτει ότι οι χρήστες που θα προσβληθούν από το Locky, θα χρειαστεί να κάνουν φορμάτ και να επανεγκαταστήσουν τα πάντα στον υπολογιστή τους από την αρχή.

Δείτε ακόμη: ROMBERTIK MALWARE: αν ανακαλυφθεί, ανατινάζει το σκληρό δίσκο

από Elichord

RELATED PROJECTS