28 nov. 2016 | 09:25

Un ransomware care circulă pe Facebook și LinkedIn te poate lăsa fără calculator

ACTUALITATE
Un ransomware care circulă pe Facebook și LinkedIn te poate lăsa fără calculator

Un nou ransomware care a ajuns să circule pe rețelele sociale pune pe jar comunitatea cercetătorilor din domeniul securității online.

Noul ransomware a început să devină din ce în ce mai vizibil pe Facebook și pe LinkedIn în ultima săptămână, exploatând vulnerabilități din cele două site-uri. O firmă de securitate israeliană, Check Point, arată că problemele de pe cele două site-uri permit unei simple imagini ce conține codul malware să se descarce automat pe calculator. Cei ce sesizează acest download și apasă pe fotografie permit ransomware-ului ”Locky” să se instaleze pe calculatorul-țintă.

Locky este un ransomware ce a apărut la începutul lui 2016 și funcționează ca majoritatea malware-ului de acest fel. Acesta criptează fișierele de pe calculatorul victimei și cere utilizatorului aproximativ 0,5 bitcoins, pentru cheia de decriptare (aproximativ 1550 de lei, la momentul scrierii articolului). Înainte, Locky se folosea de o funcție macro din documente Word și din email-uri spam, dar Check Point arată că în ultima săptămână, malware-ul a devenit extrem de vizibil pe rețelele sociale.

Echipa de le firma de securitate a afirmat că va detalia modul de lucru al exploit-ului doar după ce vulnerabilitatea este rezolvată de Facebook și LinkedIn. Aceștia afirmă însă că atacatorii se folosesc de o configurație greșită din infrastructura site-urilor pentru a forța calculatoarele să descarce fișierul. Astfel, computerul este infectat imediat ce utilizatorul apasă pe fișierul descărcat.

Modul de funcționare al lui Locky este similar cu cel al oricărui alt ransomware de pe internet. Acesta criptează mai multe foldere și în fiecare astfel de folder atacat veți găsi fișiere redenumite astfel: ”F67091F1D24A922B1A7FC27E19A9D9BC.locky”, alături de un document text care oferă instrucțiuni cu privire la recuperarea datelor, arată arstechnica.com. Malware-ul schimbă și wallpaper-ul din Windows cu un mesaj care indică locul unde se poate face plata și stochează și o serie de date în registrul sistemului de operare.