Другие новости
Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта
Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
Новая версия программы – вымогателя Locky может работать в режиме оффлайн
Экономика
Программа может начать шифровать файлы даже без наличия связи с сервером, с которого ею управляют.
Специалисты антивирусного вендора Avira обнаружили новый вариант вредоносной программы, которая начинала шифровать файлы даже в ситуации, когда не могла запросить уникальный ключ для шифрования с сервера, поскольку компьютер находится в оффлайне или брандмауэр блокирует связь.
Обращение к серверу очень важно для программ-вымогателей, которые используют криптографию с открытым ключом. Фактически, такие программы, в случае невозможности отправить отчет об инфицировании компьютера, не начинают шифрование файлов.
Это происходит потому что процедура шифрования зависит от уникальной пары публичного – частного ключа, которую генерирует сервер злоумышленника для каждого компьютера.
Сначала программа генерирует симметричный ключ шифрования и использует алгоритм типа AES (Advanced Encryption Standard) для шифрования файлов. Затем она связывается с командным сервером и просит его создать пару ключей RSA для только что инфицированного компьютера.
Публичный ключ отправляется обратно программе-шифровальщику и используется для шифрования AES ключ шифрования. Частный ключ необходим для дешифрования того, что публичный ключ зашифровал, и он всегда остается на сервере злоумышленника, а его получает пользователь только после оплаты выкупа.
Поэтому некоторые программы-вымогатели могут быть неэффективными, если брандмауэр обнаруживает такую связь и блокирует ее попытки в самом начале.
Компании могут быстро отрезать инфицированный компьютер от интернета, если вредоносная программа была обнаружена, для сокращения ущерба. Также они могут всю сеть временно вывести оффлайн и провести расследование с целью выявления возможных заражений.
Но все это не даст результатов с новой версией Locky, наиболее распространенной программой-вымогателем, поскольку в нее были внесены изменения.
Хорошей новостью в данной ситуации можно считать тот факт, что Locky начинает шифрование с ключом, который одинаков для всех компьютеров, находящихся в офлайн. Это означает, что если кто-то заплатил выкуп и получил частный ключ, то им можно дешифровать все остальные компьютеры.
Специалисты компании F-Secure изучили две массовые спамовые рассылки вредоносной программы Locky на этой неделе, одна из которых достигала 120,000 спам-хитов в час, что в 200 раз выше чем в обычный день.
Обе компании распространяли архив с вредоносными файлами с JavaScript. В последние месяцы это стало предпочитаемым методом работы преступников. Эти файлы могут сразу выполняться без специального ПО.