Если вы достаточно разбираетесь в технологиях, всякий раз, когда вы слышите о заражении системы, вы обычно думаете об исполняемом фрагменте кода, который каким-то образом похитил ее самые безопасные функции. Инфекции могут распространяться разными способами, но одно остается бесспорным: связь между вирусами и исполняемым кодом настолько сильна, что мы не обязательно считаем, что нам нужно защищать себя от таких типов файлов, как JPEG, изображения PNG и файлы MP3. Или мы? Вопреки предыдущему утверждению, первые два типа файлов, которые я упомянул, использовались для заражать компьютеры через системы обмена сообщениями в социальных сетях на Facebook и LinkedIn, как сообщил Джон Фингас для Engadget 27 ноября 2016 года.
Что происходит?
18 февраля 2016 года компания Symantec обнаружила довольно странную программу, которая оказалась новым вариантом программы-вымогателя, распространяющегося через Интернет (если вы не знаете, что такое программа-вымогатель, обратитесь к этому ). Этот конкретный штамм, известный как Locky, распространялся через спам-сообщения с вложениями примерно от десяти до двадцати тысяч жертв в неделю в период с января по март 2016 года. Не обязательно шокировать, что вирусы распространяются таким образом. Сообщения электронной почты с вложениями в формате ZIP стали популярной стратегией прививки с начала 90-х годов.
Затем произошло кое-что ещё.
К концу ноября 2016 года пользователи Facebook и LinkedIn начали видеть сообщения, отправленные с вложенными изображениями. Они кажутся довольно безопасными, но при открытии они обнаружили новый штамм Locky, который шифровал файлы системы и разблокировал их только в том случае, если жертва заплатит выкуп в размере от 200 до 400 долларов США. Самым шокирующим было то, что вирус распространялся через изображения, а не через обычный исполняемый код.
Не все так, как кажется
Хотя изображения, безусловно, используются для заражения людей в социальных сетях, это не совсем так! Я немного глубже рассмотрел механизм Locky и его скользкие пути, и похоже, что в этой истории есть нечто большее, чем просто куча JPEG-файлов, которые «нацеливаются на вас».
Во-первых, отправляя кому-либо вредоносное ПО, вы создаете впечатление, которое создаете у кого-то изображения в социальных сетях. В коде Facebook и LinkedIn есть ошибка, которая позволяет передавать определенные файлы со значком изображения, заставляя получателя думать, что он получил безобидную фотографию чьего-то домашнего кота или нового сада. На самом деле получатель загружает HTA-файл, очень старую исполняемую программу для Windows, существующую с 1999 года (еще один элемент, который можно добавить в список причин, по которым программное обеспечение в 90-х годах было совершенно помешанным).
По сути, приложения HTA подобны EXE-файлам, за исключением того, что они располагаются поверх «mshta.exe» и используются администраторами для быстрого внесения изменений в системы. Поскольку они пользуются полным «доверием» системы, в которой работают, они могут сеять любой ущерб, какой позволяет их код.
Как предотвратить заражение
Если вы заражены Locky, вы мало что можете сделать, кроме как надеяться, что найдете антивирусное приложение, которое сможет удалить его пока вы загружены в безопасном режиме . Но предотвратить заражение в первую очередь довольно легко. Если вы получили файл изображения на Facebook и у него нет предварительного просмотра, как на изображении ниже, вам, вероятно, будет предложено загрузить его.
После загрузки файла проверьте его расширение. Если там не указано «JPG», «JPEG», «PNG» или что-то похожее на изображение, возможно, это вирус. Мы видели Locky в формате HTA, но он также может появляться и в других типах исполняемых кодов (.COM,.PIF,.SCR,.CPL,.JAR,.APPLICATION,.EXE,.MSI и т. д.). Просто следите за расширениями файлов и опасайтесь всего, что вы не узнаете. Один из надежных способов проверить, является ли полученный вами файл изображением, — проверить, предоставляет ли Проводник Windows предварительный просмотр при изменении стиля отображения на «Крупные значки».
Можете ли вы поделиться еще какими-нибудь полезными советами? Расскажите нам в комментариях!
