Как изображения могут заразить ваш компьютер через социальные сети

Если вы в меру технически подкованы, всякий раз, когда вы слышите о заражении системы, вы обычно думаете о исполняемом фрагменте кода, который каким-то образом перехватил свои наиболее безопасные функции. Инфекции могут распространяться разными способами, но одно остается неизменным: связь между вирусами и исполняемым кодом настолько сильна, что мы не обязательно считаем, что должны защищаться от таких типов файлов, как JPEG, изображения PNG и файлы MP3. Или мы? Вопреки предыдущему утверждению, первые два типа файлов, о которых я упомянул, использовались для заражения компьютеров через системы обмена сообщениями в социальных сетях на Facebook и LinkedIn, как сообщил Джон Фингас для Engadget 27 ноября 2016 года.

Что происходит?

lockymalware-электронная почта

18 февраля 2016 года Symantec обнаружила довольно странную программу, которая оказалась новым вариантом распространения программ-вымогателей через Интернет (если вы не знаете, что такое программа-вымогатель, см. Это). Этот конкретный штамм, известный как Locky, с января по март 2016 года распространялся через спам-сообщения с вложениями со скоростью примерно от десяти до двадцати тысяч жертв в неделю. То, что вирусы распространяются таким образом, не обязательно шокирует. Электронные сообщения с вложениями в формате ZIP были популярной стратегией заражения с начала 90-х годов.

Затем произошло кое-что еще.

К концу ноября 2016 года пользователи Facebook и LinkedIn начали видеть сообщения, отправленные с вложенными изображениями. Они кажутся довольно безопасными, но при открытии они обнаружили новую разновидность Locky, которая шифрует файлы системы и разблокирует их только в том случае, если жертва платит выкуп в размере от 200 до 400 долларов США. Самым шокирующим моментом было то, что вирус распространялся через изображения, а не через обычный исполняемый код.

Не все так, как кажется

lockymalware-facebook

Хотя изображения, безусловно, используются для заражения людей в социальных сетях, это не совсем так! Я немного глубже рассмотрел механизм Locky и его скользкие пути, и похоже, что в этой истории есть нечто большее, чем просто куча JPEG, которые "хотят вас достать".

Во-первых, то, что вы распространяете, отправляя кому-то вредоносное ПО, - это впечатление, что вы даете кому-то изображение в социальных сетях. В коде Facebook и LinkedIn есть недостаток, который позволяет передавать определенные файлы со значком изображения, что заставляет получателя полагать, что он получил безобидную фотографию чьей-то домашней кошки или нового сада. На самом деле получатель загружает файл HTA, очень старую исполняемую программу для Windows, которая существует примерно с 1999 года (еще один пункт, который нужно добавить в список причин, по которым программное обеспечение в 90-х годах было совершенно безумным).

По сути, приложения HTA ​​похожи на EXE-файлы, за исключением того, что они расположены поверх "mshta.exe" и используются администраторами для быстрого внесения изменений в системы. Поскольку у них есть полное "доверие" к системе, в которой они работают, они могут нанести любой ущерб, который им позволяет их код.

Как предотвратить заражение

После заражения Locky вы ничего не можете сделать, кроме как надеяться, что найдете антивирусное приложение, которое сможет удалить его , пока вы загружаетеесь в безопасном режиме. Но предотвратить заражение в первую очередь довольно просто. Когда вы получаете файл изображения на Facebook, и у него нет предварительного просмотра, как на изображении ниже, вам, вероятно, будет предложено загрузить его.

Lockymalware-предварительный просмотр

После того, как вы скачали файл, проверьте его расширение. Если там не написано JPG, JPEG, PNG или что-то похожее на изображение, вероятно, это вирус. Мы видели Locky в формате HTA, но он также может появляться в исполняемых кодах других типов (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI и т. Д.). Просто следите за расширениями файлов и остерегайтесь всего, что вы не узнаете. Один из надежных способов проверить, является ли полученный вами файл изображением, - это посмотреть, дает ли проводник Windows предварительный просмотр, когда вы меняете стиль отображения на "Большие значки".

Есть ли еще какие-нибудь отличные советы? Расскажите нам в комментарии!

2 комментария

  1. Это одна из причин, по которой я оставил мир Windows и перешел на Linux. Вы можете быть спокойнее, зная, что файлы ".exe" или большинство их вариантов, которые запускаются самостоятельно в Windows, не имеют мощности в правильно защищенной и настроенной среде Linux. Приветствую мощь СУ / СУДО!… .LoL! Если это не то, что я установил или получено из надежного источника? ... он не устанавливается! Потому что задолго до того, как он получит доступ к конфиденциальным файлам и скрытым каталогам? ... ему нужен пароль "Великого Высшего Волшебника" ... и я не даю его только ЛЮБОМУ приложению! вверх и убедитесь, что есть преимущества в использовании системы, которую нельзя взломать глобально ...


    "Однажды мир поумнеет и увидит, что есть преимущества в использовании системы, которую невозможно взломать во всем мире"
    Этого не произойдет, пока существует M $.

    Кроме того, "su" и "sudo" ТАК неудобны в использовании - дополнительные нажатия клавиш. (отрывает язык от щеки)

Комментарии закрыты.