Russiske hackere antas å stå bak Locky virus
Som vi allerede har nevnt kom Locky-viruset i søkelyset for flere uker siden da det infiserte datasystemet hos Hollywood Presbyterian Medical Centre og svindlet dem for $3,4 millioner. Siden da har sikkerhetseksperter begynt å oppdage oversatte versjoner av dette ransomware-programmet. Det mest interessante er at Locky ransomware holder seg unna land der det snakkes russisk. Det samme kan sies om en annen type ransomware-virus kalt Cerber virus, som tydelig unngår Ukrania, Hviterussland, Georgia og Russland. På grunn av dette er det mange spekulasjoner om at Locky og lignende ransomware-trusler kommer fra disse landene. Når det gjelder mistenkte har dessuten sikkerhetseksperter begynt å se på utviklerne av Dyre virus (også kjent som Dridex), som er en notorisk banktrojaner. Ifølge dem bruker Locky ransomware lignende distribusjonsmetode og har et potensiale til å innhente stor profitt, som er en nødvendighet for profesjonelle nettkriminelle.
Du lurer kanskje på hvordan viruset har klart å gjøre så mye skade. Hovedegenskapen til dette viruset er at det krypterer offerets viktige dokumenter, filer eller til og med hele nettverk. Dersom brukere er desperate etter å åpne de krypterte filene begynner denne trusselen å vise en melding som tilbyr nedlasting av dekrypteringsnøkkelen mot et bestemt pengebeløp. Det virker til at beløpet varierer fra gang til gang, ettersom enkelte privatbrukere har rapportert om løsesummer på $400 mens selskaper har annonsert tap på flere millioner dollar. Det er imidlertid uvisst hvorvidt de har klart å gjenopprette dataene sine etter å ha betalt pengene. De heldigste ofrene er de som har sikkerhetskopiert filene sine på forhånd. Mens lignende ransomware-trusler har en tendens til å generere et vilkårlig dekrypteringsnummer benytter Locky infrastrukturen sin til å sende en dekrypteringsnøkkel. I følge IT-eksperter er dette en av de viktigste grunnene til at viruset anses for å være et av de mest kompliserte ransomware-truslene i dag.
Denne ransomware-trusslen spres via infiserte vedlegg til villedende e-poster. Normalt skjules viruset i et word-dokument, men det finnes flere ofre som har rapportert om infiserte JavaScript-vedlegg. Brukere blir lurt av den villedende tittelen «Invoice», som krever aktivering av makroer. Makroer er normalt deaktivert av Microsoft for å redusere distribusjonen av malware. Dersom de er aktiverte vil det infiserte dokumentet laste ned Locky-viruset. Mens sikkerhetseksperter fremdeles leter etter effektive metoder for å bli kvitt Locky ransomware, anbefales brukere å unngå å åpne tvilsomme e-poster. I tillegg bør de ha sikkerhetskopier av de viktigste dataene og begrense besøkene på mistenkelige nettsider.