Russiske hackere antas å stå bak Locky virus

Du har sannsynligvis hørt om det nyeste ransomware-programmet, Locky virus. Hvis ikke kan vi advare deg om at denne nettrusselen allerede har infisert 40.000 enheter. Noen sier at det allerede er overgått av «broren» TeslaCrypt virus men er likevel bak CryptoWall-virus når det gjelder omfanget av påført skade. De mest rammede landene er Tyskland, USA, Frankrike, Japan, Canada og Australia. Selv om viruset dukket opp for noen uker siden er det fremdeles en del antivirus-programmer som ikke klarer å oppdage det. Heldigvis leter sikkerhetseksperter etter den beste måten for å hjelpe folk med å forhindre Locky viruset.

Som vi allerede har nevnt kom Locky-viruset i søkelyset for flere uker siden da det infiserte datasystemet hos Hollywood Presbyterian Medical Centre og svindlet dem for $3,4 millioner. Siden da har sikkerhetseksperter begynt å oppdage oversatte versjoner av dette ransomware-programmet. Det mest interessante er at Locky ransomware holder seg unna land der det snakkes russisk. Det samme kan sies om en annen type ransomware-virus kalt Cerber virus, som tydelig unngår Ukrania, Hviterussland, Georgia og Russland. På grunn av dette er det mange spekulasjoner om at Locky og lignende ransomware-trusler kommer fra disse landene. Når det gjelder mistenkte har dessuten sikkerhetseksperter begynt å se på utviklerne av Dyre virus (også kjent som Dridex), som er en notorisk banktrojaner. Ifølge dem bruker Locky ransomware lignende distribusjonsmetode og har et potensiale til å innhente stor profitt, som er en nødvendighet for profesjonelle nettkriminelle.

Du lurer kanskje på hvordan viruset har klart å gjøre så mye skade. Hovedegenskapen til dette viruset er at det krypterer offerets viktige dokumenter, filer eller til og med hele nettverk. Dersom brukere er desperate etter å åpne de krypterte filene begynner denne trusselen å vise en melding som tilbyr nedlasting av dekrypteringsnøkkelen mot et bestemt pengebeløp. Det virker til at beløpet varierer fra gang til gang, ettersom enkelte privatbrukere har rapportert om løsesummer på $400 mens selskaper har annonsert tap på flere millioner dollar. Det er imidlertid uvisst hvorvidt de har klart å gjenopprette dataene sine etter å ha betalt pengene. De heldigste ofrene er de som har sikkerhetskopiert filene sine på forhånd. Mens lignende ransomware-trusler har en tendens til å generere et vilkårlig dekrypteringsnummer benytter Locky infrastrukturen sin til å sende en dekrypteringsnøkkel. I følge IT-eksperter er dette en av de viktigste grunnene til at viruset anses for å være et av de mest kompliserte ransomware-truslene i dag.

Denne ransomware-trusslen spres via infiserte vedlegg til villedende e-poster. Normalt skjules viruset i et word-dokument, men det finnes flere ofre som har rapportert om infiserte JavaScript-vedlegg. Brukere blir lurt av den villedende tittelen «Invoice», som krever aktivering av makroer. Makroer er normalt deaktivert av Microsoft for å redusere distribusjonen av malware. Dersom de er aktiverte vil det infiserte dokumentet laste ned Locky-viruset. Mens sikkerhetseksperter fremdeles leter etter effektive metoder for å bli kvitt Locky ransomware, anbefales brukere å unngå å åpne tvilsomme e-poster. I tillegg bør de ha sikkerhetskopier av de viktigste dataene og begrense besøkene på mistenkelige nettsider.