Εάν είστε μέτρια τεχνολογικά καταλαβαίνω, κάθε φορά που ακούτε ένα σύστημα που είναι μολυσμένο, σκέφτεστε κανονικά ένα εκτελέσιμο κομμάτι κώδικα που έχει κατά κάποιο τρόπο υποκλοπήσει τις πιο ασφαλείς λειτουργίες του. Οι μολύνσεις μπορούν να εξαπλωθούν με πολλούς τρόπους, αλλά ένα πράγμα παραμένει βέβαιο: Η σύνδεση μεταξύ των ιών και του εκτελέσιμου κώδικα είναι τόσο ισχυρή που δεν πιστεύουμε αναγκαστικά ότι πρέπει να προστατευθούμε από τύπους αρχείων όπως αρχεία JPEG, PNG και αρχεία MP3. Ή μήπως; Σε αντίθεση με τον προηγούμενο ισχυρισμό, οι δύο πρώτοι τύποι αρχείων που ανέφερα έχουν χρησιμοποιηθεί για να μολύνουν υπολογιστές μέσω συστημάτων μηνυμάτων κοινωνικής δικτύωσης στο Facebook και το LinkedIn, όπως αναφέρει ο Jon Fingas για την Engadget στις 27 Νοεμβρίου 2016.

Τι συμβαίνει?

Στις 18 Φεβρουαρίου του 2016, η Symantec βρήκε ένα παράξενο κομμάτι λογισμικού που αποδείχθηκε μια νέα παραλλαγή του ransomware που διαδίδεται μέσω του ιστού (αν δεν ξέρετε τι είναι το ransomware, ανατρέξτε σε αυτό). Το συγκεκριμένο στέλεχος - γνωστό ως Locky - διαδόθηκε μέσω ανεπιθύμητων ηλεκτρονικών μηνυμάτων με συνημμένα σε περίπου δέκα έως είκοσι χιλιάδες θύματα την εβδομάδα από τον Ιανουάριο έως τον Μάρτιο του 2016. Δεν είναι απαραιτήτως συγκλονιστικό να βλέπουμε τους ιούς να διαδίδονται με αυτόν τον τρόπο. Τα μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένα ZIP ήταν η στρατηγική εμβολιασμού από τις αρχές της δεκαετίας του '90.

Τότε, συνέβη κάτι άλλο.

Προς το τέλος Νοεμβρίου του 2016, οι χρήστες στο Facebook και στο LinkedIn άρχισαν να βλέπουν μηνύματα που αποστέλλονταν με συνημμένα εικόνας. Φαίνονται μάλλον ασφαλείς, αλλά όταν ανοίξουν αποκάλυψαν ένα νέο στέλεχος του Locky που θα κρυπτογράφησε τα αρχεία του συστήματος και θα τα ξεκλειδώσει μόνο αν το θύμα κατέβαλε λύτρα οπουδήποτε μεταξύ US $ 200 και $ 400. Το πιο συγκλονιστικό μέρος αυτού ήταν ότι ο ιός εξαπλώθηκε μέσω εικόνων αντί για συμβατικό εκτελεμένο κώδικα.

Δεν είναι όλα όπως φαίνεται

Αν και οι εικόνες σίγουρα χρησιμοποιούνται για να μολύνουν τους ανθρώπους στα κοινωνικά μέσα, δεν είναι ακριβώς πώς φαίνεται! Έχω πάρει μια λίγο βαθύτερη ματιά στο μηχανισμό του Locky και τους ολισθηρούς τρόπους του, και φαίνεται ότι υπάρχουν περισσότερα για την ιστορία από μια δέσμη των JPEGs που είναι "έξω για να σας".

Πρώτα απ 'όλα, αυτό που διανέμετε όταν στέλνετε το κακόβουλο λογισμικό σε κάποιον είναι η εντύπωση ότι δίνετε σε κάποιον μια εικόνα στα social media. Υπάρχει ένα ελάττωμα στον κώδικα του Facebook και του LinkedIn που επιτρέπει την μεταφορά ορισμένων αρχείων με το εικονίδιο της εικόνας, οδηγώντας τον παραλήπτη να πιστεύει ότι έλαβε μια αβλαβή εικόνα της γάτας ενός κατοικίδιου ή νέου κήπου. Αυτό που πραγματικά κατεβάζει ο παραλήπτης είναι ένα αρχείο HTA, ένα πολύ παλιό εκτελέσιμο πρόγραμμα για Windows, το οποίο βρίσκεται γύρω από το 1999 (ένα άλλο στοιχείο για να προσθέσετε στον κατάλογο των λόγων για τους οποίους το λογισμικό στη δεκαετία του '90 ήταν απολύτως ασταθές).

Βασικά, οι εφαρμογές HTA είναι σαν EXE εκτός από το ότι είναι στρωματοποιημένες πάνω από το "mshta.exe" και χρησιμοποιήθηκαν από τους διαχειριστές για την ταχεία πραγματοποίηση αλλαγών στα συστήματα. Δεδομένου ότι έχουν την πλήρη «εμπιστοσύνη» του συστήματος που τρέχουν, είναι ελεύθεροι να κάνουν οποιαδήποτε καταστροφή που τους επιτρέπει ο κώδικας τους.

Πώς να αποτρέψετε τη μόλυνση

Μόλις μολυνθείτε από το Locky, δεν μπορείτε να κάνετε πολλά εκτός από την ελπίδα ότι θα βρείτε μια εφαρμογή κατά του κακόβουλου λογισμικού που μπορεί να την καταργήσει ενώ εκκινείτε σε ασφαλή λειτουργία. Ωστόσο, η πρόληψη της μόλυνσης είναι μάλλον εύκολη. Όταν λάβετε ένα αρχείο εικόνας στο Facebook και δεν έχει μια προεπισκόπηση όπως η παρακάτω εικόνα, πιθανότατα θα σας ζητηθεί να το κατεβάσετε.

Μόλις κατεβάσετε το αρχείο, ελέγξτε την επέκτασή του. Εάν δεν λέει JPG, JPEG, PNG, ή οτιδήποτε μοιάζει με εικόνα, είναι πιθανώς ένας ιός. Έχουμε δει το Locky σε μορφή HTA, αλλά θα μπορούσε να εμφανιστεί και σε άλλους τύπους εκτελέσιμων κωδικών (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI κ.λπ.). Απλά προσέξτε τις επεκτάσεις αρχείων και προσέξτε τίποτα που δεν αναγνωρίζετε. Ένας τρόπος για να βεβαιωθείτε ότι το αρχείο που λάβατε είναι μια εικόνα βλέπετε εάν η Εξερεύνηση των Windows σας δίνει μια προεπισκόπηση όταν αλλάζετε το στυλ εμφάνισης σε "Μεγάλα εικονίδια".

Έχετε και άλλες χρήσιμες συμβουλές για να μοιραστείτε; Πείτε μας σε ένα σχόλιο!