אם אתה מתמצא טק בינוני, בכל פעם שאתה שומע על מערכת להיות נגוע, אתה בדרך כלל חושב על חתיכת הפעלה של קוד שיש איכשהו חטף הפונקציות המאובטחות ביותר שלה. זיהומים יכולים להתפשט בכל מספר דרכים, אבל דבר אחד נשאר בטוח: הקשר בין וירוסים קוד הפעלה חזק כל כך שאנחנו לא בהכרח מאמינים שאנחנו צריכים להגן על עצמנו מפני סוגי קבצים כגון JPEGs, תמונות PNG, וקבצי MP3. או שמא אנחנו? בניגוד לקביעה הקודמת, שני סוגי הקבצים הראשונים שהזכרתי שימשו להדבקת מחשבים באמצעות מערכות העברת הודעות מדיה חברתית בפייסבוק וב- LinkedIn, כפי שדווח על ידי ג'ון פינגס עבור Engadget ב -27 בנובמבר 2016.

מה קורה?

ב -18 בפברואר, 2016, מצאה סימנטק תוכנה מוזרה למדי שהתברר כי היא גרסה חדשה של Ransomware המתפשטת דרך האינטרנט (אם אינכם יודעים מה זה Ransomware, ראו זאת). זן מסוים זה - המכונה Locky - התפשט באמצעות הודעות דואר זבל עם קבצים מצורפים בקצב של בערך 10 עד 20, 000 קורבנות בשבוע בין ינואר למארס 2016. זה לא בהכרח מזעזע לראות וירוסים להפיץ את הדרך. הודעות דואר אלקטרוני עם קבצים מצורפים ZIP כבר ללכת אל חיסון אסטרטגיה מאז תחילת שנות ה -90.

ואז קרה עוד משהו.

לקראת סוף נובמבר 2016, משתמשים בפייסבוק וב- LinkedIn החלו לראות הודעות שנשלחו עם קבצים מצורפים. הם נראים בטוחים למדי, אבל כאשר הם פתחו הם חשפו זן חדש של לוקי שיצפין את הקבצים של המערכת ויפתח אותם רק אם הקורבן שילם כופר בין 200 ל -400 דולר. החלק המזעזע ביותר היה שהווירוס התפשט באמצעות דימויים ולא בקוד מבוצע.

לא הכל כפי שהוא נראה

למרות התמונות בהחלט משמשים להדביק אנשים על מדיה חברתית, זה לא בדיוק איך זה נראה! לקחתי קצת מבט מעמיק יותר על המנגנון של לוקי ועל הדרכים החלקלקות שלו, ונראה שיש יותר לסיפור מאשר חבורה של קבצי JPEG שהם "כדי להשיג אותך".

ראשית, מה שאתה מפיץ כאשר אתה שולח את התוכנה הזדונית למישהו הוא הרושם שאתה נותן למישהו תמונה על מדיה חברתית. יש פגם בקוד של פייסבוק וקוד LinkedIn שמאפשר להעביר קבצים מסוימים עם סמל התמונה, מה שמוביל את הנמען להאמין שהם קיבלו תמונה לא מזיקה של חתול של חיית המחמד או של גן חדש. מה שהנמען מוריד בפועל הוא קובץ HTA, תוכנית הפעלה ישנה מאוד עבור Windows שנמצאת במקום מאז 1999 (פריט נוסף כדי להוסיף לרשימת הסיבות לכך שהתוכנה בשנות ה -90 הייתה מלאה).

ביסודו של דבר, יישומי HTA הם כמו EXEs, למעט שהם מרובדים על גבי "mshta.exe" והיו בשימוש על ידי מנהלי מערכת כדי לבצע שינויים במערכות במהירות. מאחר שיש להם את "האמון" המלא של המערכת בה הם רצים, הם חופשיים ליצור כמות של הרס שהקוד שלהם מאפשר להם.

כיצד למנוע זיהום

ברגע שאתה נגוע Locky, אין הרבה מה שאתה יכול לעשות חוץ מאשר מקווה למצוא יישום אנטי תוכנות זדוניות שיכולים להסיר אותו בזמן שאתה booted במצב בטוח. אבל מניעת הזיהום מלכתחילה היא קלה למדי. כאשר אתה מקבל קובץ תמונה בפייסבוק, ואין לו תצוגה מקדימה כמו התמונה למטה, אז אתה כנראה תתבקש להוריד אותו.

לאחר שתוריד את הקובץ, בדוק את התוסף שלו. אם זה לא אומר JPG, JPEG, PNG, או כל דבר שנראה כמו תמונה, זה כנראה וירוס. ראינו את Locky בפורמט HTA, אך הוא עשוי להופיע גם בסוגים אחרים של קודי הפעלה (.COM, .PIF, .SCR, .CPL, .JAR, .APAPICATION, .EXE, .MSI וכו '). רק לפקוח עין על סיומות הקובץ להיזהר מכל דבר שאתה לא מזהה. דרך בטוחה אחת לבדוק אם הקובץ שקיבלת הוא תמונה היא על ידי לראות אם סייר Windows נותן לך תצוגה מקדימה בעת שינוי סגנון התצוגה ל "סמלים גדולים."

יש עוד חתיכות nifty של ייעוץ לשתף? ספר לנו הערה!