Эксперт предложил способ предотвращения заражения компьютеров вымогателем Locky

image

Теги: вымогательское ПО, инфицирование, выкуп

Вредонос не будет работать на компьютерах, где в качестве языка интерфейса установлен русский.

Сотрудник французской ИБ-компании CERT-Lexsi Сильвен Сармежанн (Sylvain Sarméjeanne) обнаружил несколько методов предотвращения инфицирования компьютеров вымогательским ПО Locky. Впервые о данном представителе семейства вымогателей стало известно в феврале нынешнего года.

Отличительной особенностью нового вредоноса является способ загрузки, сходный с механизмом банковского трояна Dridex. Вредоносное ПО Locky шифрует и добавляет расширение .locky к файлам на системе. Для восстановления доступа к документам пользователь должен отправить оператору вредоноса определенный выкуп в биткоинах.

По словам эксперта, вымогательское ПО Locky обладает рядом слабостей. К примеру, вредонос не будет работать на компьютерах, где в качестве языка интерфейса установлен русский. Оказавшись на системе, Locky пытается создать ключ реестра HKCU\Software\Locky. Если создать ключ до того, как компьютер будет инфицирован, вредонос прекратит работу, отметил Сармежанн. Еще один метод, предложенный исследователем, предполагает манипуляции со значением реестра. В результате Locky не шифрует файлы, а только переименовывает их.

Ранее эксперты компании Symantec сообщили о вымогательском ПО под названием CryptoDefense, являющимся некой версией вредоноса CryptoLocker. Главная особенность CryptoDefense заключалась в существовании программной ошибки, из-за чего ключ шифрования файлов сохранялся не только на сервере злоумышленников, но и на компьютерах жертв.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.