Hvis du er moderat teknisk kunnskapsrik, når du hører om et system som blir smittet, tenker du vanligvis på et kjørbart stykke kode som på en eller annen måte har kapret sine mest sikre funksjoner. Infeksjoner kan spre seg på noen måter, men en ting er fortsatt sikker: Koblingen mellom virus og kjørbar kode er så sterk at vi ikke nødvendigvis tror at vi må beskytte oss mot filtyper som JPEG, PNG-bilder og MP3-filer. Eller gjør vi? I motsetning til forrige påstand, har de to første filtypene jeg har nevnt blitt brukt til å infisere datamaskiner via sosiale medier meldingssystemer på Facebook og LinkedIn, som rapportert av Jon Fingas for Engadget 27. november 2016.

Hva skjer?

Den 18. februar 2016 fant Symantec et ganske merkelig programvare som viste seg å være en ny variant av ransomware som sprer seg over nettet (hvis du ikke vet hva ransomware er, referer til dette). Denne spesielle stammen, kjent som Locky, spres gjennom spam-e-postmeldinger med vedlegg med en hastighet på omtrent ti til tjue tusen ofre per uke mellom januar og mars 2016. Det er ikke nødvendigvis sjokkerende å se at virus sprer seg på denne måten. E-postmeldinger med ZIP-vedlegg har vært go-to-inokuleringsstrategien siden tidlig på 90-tallet.

Så skjedde det noe annet.

Mot slutten av november 2016 begynte brukere på Facebook og LinkedIn å se meldinger sendt med bildevedlegg. De virker ganske trygge, men da de åpnet, avslørte de en ny stamme av Locky som ville kryptere systemets filer og låse dem opp bare hvis offeret betalte et løsepris hvor som helst mellom US $ 200 og $ 400. Den mest sjokkerende delen av dette var at viruset spredte seg gjennom bilder i stedet for konvensjonell utført kode.

Ikke alt er som det ser ut

Selv om bilder absolutt brukes til å infisere folk på sosiale medier, er det ikke helt hvordan det ser ut! Jeg har tatt litt av en dypere titt på mekanismen til Locky og dens glatte måter, og det ser ut til at det er mer til historien enn en haug med JPEG som er "ute for å få deg."

Først av alt, hva du distribuerer når du sender malware til noen, er inntrykk av at du gir noen et bilde på sosiale medier. Det er en feil i Facebook og LinkedIns kode som tillater enkelte filer å bli overført med bildeikonet, som fører mottakeren til å tro at de fikk et ufarlig bilde av noens kjæledyrskatt eller ny hage. Hva mottakeren faktisk laster ned er en HTA-fil, et veldig gammelt kjørbart program for Windows som har eksistert siden 1999 (et annet element å legge til i listen over årsaker til at programvaren på 90-tallet var helt bonkers).

I utgangspunktet er HTA-applikasjoner som EXEer, bortsett fra at de er lagdelt på toppen av "mshta.exe" og ble brukt av administratorer for raskt å gjøre endringer i systemene. Siden de har full "tillit" til systemet de kjører på, er de fri til å utnytte noen form for ødeleggelse som deres kode tillater dem å.

Hvordan forebygge infeksjon

Når du er smittet med Locky, er det ikke mye du kan gjøre, bortsett fra at du håper du finner et anti-malware-program som kan fjerne det mens du er oppstart i sikker modus. Men å forebygge infeksjonen i utgangspunktet er det ganske enkelt. Når du mottar en bildefil på Facebook, og den ikke har en forhåndsvisning som bildet nedenfor, vil du sannsynligvis bli bedt om å laste den ned.

Når du har lastet ned filen, må du sjekke utvidelsen. Hvis det ikke sier JPG, JPEG, PNG eller noe som ser ut som det er et bilde, er det sannsynligvis et virus. Vi har sett Locky i HTA-format, men det kan også vises i andre typer kjørbare koder (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI, etc.). Bare hold øye med filutvidelser og vær forsiktig med alt du ikke gjenkjenner. En sikker måte å kontrollere om filen du mottok er et bilde, ved å se om Windows Explorer gir deg en forhåndsvisning når du endrer visningsstilen til "Store ikoner".

Har du noen andre gode råd å dele? Fortell oss i en kommentar!