Технологии простыми словами

Как изображения могут заразить ваш компьютер через социальные сети

Если вы обладаете умеренными техническими знаниями, когда вы слышите о зараженной системе, вы обычно думаете о исполняемом коде, который каким-то образом захватил ее самые защищенные функции. Инфекции могут распространяться различными способами, но одно остается верным: связь между вирусами и исполняемым кодом настолько сильна, что мы не обязательно считаем, что должны защищать себя от таких типов файлов, как JPEG, PNG и MP3. Или должны? Вопреки предыдущему утверждению, первые два типа файлов, о которых я упомянул, использовались для заражения компьютеров через системы обмена сообщениями в социальных сетях на Facebook и LinkedIn, как сообщал Джон Финкас для Engadget 27 ноября 2016 года.

Что происходит?

lockymalware-email

18 февраля 2016 года компания Symantec обнаружила довольно странное программное обеспечение, которое оказалось новой разновидностью программ-вымогателей, распространяющихся по сети (если вы не знаете, что такое программ-вымогатель, обратитесь к этому). Эта конкретная разновидность – известная как Locky – распространялась через спам-электронные письма с вложениями со скоростью примерно от десяти до двадцати тысяч жертв в неделю с января по март 2016 года. Неудивительно видеть, как вирусы распространяются таким образом. Электронные сообщения с ZIP-вложениями были основной стратегией инокуляции с начала 90-х.

Затем произошло нечто иное.

К концу ноября 2016 года пользователи Facebook и LinkedIn начали видеть сообщения с вложениями изображений. Они кажутся довольно безопасными, но при открытии они раскрывали новую разновидность Locky, которая шифровала файлы системы и разблокировала их только в том случае, если жертва заплатила выкуп в размере от 200 до 400 долларов США. Самая шокирующая часть этого заключалась в том, что вирус распространялся через изображения, а не через обычный исполняемый код.

Не все так, как кажется

lockymalware-facebook

Хотя изображения определенно используются для заражения людей в социальных сетях, это не совсем так, как выглядит! Я немного глубже изучил механизм Locky и его скользкие способы, и похоже, что в этой истории больше, чем просто куча JPEG, которые «нацелены на вас».

Прежде всего, то, что вы распространяете, когда отправляете вредоносное ПО кому-то, – это впечатление, что вы даете кому-то изображение в социальных сетях. В коде Facebook и LinkedIn есть ошибка, которая позволяет передавать определенные файлы с иконкой изображения, что заставляет получателя думать, что он получил безобидное изображение кошки или нового сада. На самом деле получаемый файл – это файл HTA, очень старая исполняемая программа для Windows, существующая с 1999 года (еще один пункт в списке причин, почему программное обеспечение 90-х было совершенно безумным).

По сути, приложения HTA похожи на EXE, за исключением того, что они накладываются на «mshta.exe» и использовались администраторами для быстрого внесения изменений в системы. Поскольку они имеют полное «доверие» системы, на которой они работают, они могут причинить любое количество разрушений, которое позволяет их код.

Как предотвратить заражение

Как только вы заразитесь Locky, вы не сможете сделать много, кроме как надеяться, что найдете приложение для борьбы с вредоносным ПО, которое сможет удалить его, пока вы загружены в безопасном режиме. Но предотвратить заражение в первую очередь довольно легко. Когда вы получаете файл изображения на Facebook, и у него нет предварительного просмотра, как на изображении ниже, то, вероятно, вам будет предложено его скачать.

lockymalware-preview

После того как вы скачали файл, проверьте его расширение. Если оно не говорит JPG, JPEG, PNG или что-то, что выглядит как изображение, это, вероятно, вирус. Мы видели Locky в формате HTA, но он также может появляться в других типах исполняемого кода (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI и т. д.). Просто следите за расширениями файлов и будьте осторожны с тем, что вы не распознаете. Один надежный способ проверить, является ли полученный файл изображением, – это посмотреть, дает ли Windows Explorer предварительный просмотр, когда вы изменяете стиль отображения на «Большие значки».

Есть ли у вас другие полезные советы? Поделитесь с нами в комментариях!

Содержание

  1. Что происходит?
  2. Не все так, как кажется
  3. Как предотвратить заражение
Ello-dashboardprofile

Ello: Исследование Частной Социальной Сети

Bitdefender не устанавливается: 3 простых решения, которые вы можете использовать

Больше о решениях Bitdefender

Google убивает Inbox и дает ему шесть месяцев жизни

aspect-ratios-16x9

Понимание соотношений сторон видео

Менеджер файлов с тегами для организации ваших файлов: Топ 5

Исправление проблемы с Wake on LAN

Проблемы с Wake On LAN в Windows [Решено]

easycap-mac-mspacman-console

Использование EasyCAP для захвата VHS и консолей на Mac

Google тестирует новую функцию Chrome для проверки права на обновление до Windows 11