俄罗斯黑客被怀疑是 Locky 病毒背后的操控者
你 一定有听说过名为 Locky 病毒的最新勒索软件。如果没有,那么我们必须告诉你,这个网络威胁已经感染了 40,000 个设备。以损害规模来看,有人认为它已经超越其“兄弟” TeslaCrypt 病毒,但却还是落在 CryptoWall 病毒后头。受影响最深的是德国、美国、法国、日本、加拿大及澳洲。虽然这个病毒已经出现了几个星期,但有些抗毒软件还是无法检测到它。幸运的是安全专家正努力不懈地找出可以帮助人们防止 Locky 病毒的方法。
就像刚刚提过的,Locky 病毒在几个星期前因关闭了好莱坞长老会医疗中心 (Hollywood Presbyterian Medical Centre) 的计算机并骗取了 3,4 百万元而曝光。自从那个时候起,安全专家就开始注意这个勒索软件的翻译版本,最让人感兴趣的是 Locky 勒索软件会远离使用俄语的国家,即使进入它也会自行终止。同样的情形出现在Cerber 病毒,这是另一个勒索软件类型的病毒,它则会避开乌克兰、白俄罗斯,格鲁吉亚、俄罗斯这些国家。由于这些特点,出现了很多有关 Locky 和类似勒索软件的威胁是来自俄语国家的猜测。谈到可能的嫌犯,安全专家已经开始注意 Dyre 病毒(也被称为 Dridex)的开发者了,这是一个知名的银行木马程序。据他们指出,Locky 勒索软件也使用了同样的分布方法以及可能获取丰厚的利润,而这也是专业网络犯罪者必须具备的能力。
你可能会好奇一个病毒是怎样带来这么大的冲击。这个病毒最独特的地方就是它会将用户非常重要的文档、文件甚至整个网络加密,当用户急着打开这些被加密的文件时,这个威胁就会开始显示它的勒索字条,提供优惠让你以特定金额来下载 Locky Decrypter (解密程序)。这金额是因人而异的,有些个人用户表示说其勒索赎金是 $400,而有些公司则表示他们付出了数百万元的款项,然而,在支付赎金后,他们是否得以还原数据则还是一个未知数。最幸运的受害者就是那些存有文件备份的用户了。还有,当类似的勒索软件威胁都在自动生成随机的解密号码时,Locky 则应用了命令控制式的基础设施来发送解密密钥。据计算机专家指出,这有可能是这个病毒被认为是近期来最复杂的勒索软件的原因了。
这个勒索软件是通过附加在误导性电邮里的受感染附件来传播的,这个病毒通常会隐藏在 Word 附件里,但也有受害者报告说是在受感染的 JavaScript 附件里。用户是被误导性的“发票”标题所骗而启动了宏指令。在普通情况下,宏指令被 Microsoft 默认禁用以减低恶意软件的分布。如果宏指令被启用了,受感染的文档就会下载 Locky 病毒。在计算机安全专家仍然在寻找有效的方法来对抗Locky 勒索软件的当儿,不建议用户打开任何灰暗的电子邮件。此外,他们应该将最重要的数据随时备份,并限制对可疑网站的访问。