Als je matig technisch onderlegt, denk je als je hoort dat een systeem geïnfecteerd is, normaal aan een uitvoerbaar stuk code dat op een of andere manier de veiligste functies heeft gekaapt. Infecties kunnen zich op allerlei manieren verspreiden, maar één ding blijft zeker: de link tussen virussen en uitvoerbare code is zo sterk dat we niet noodzakelijk geloven dat we ons moeten beschermen tegen bestandstypes zoals JPEG's, PNG-afbeeldingen en MP3-bestanden. Of toch? In tegenstelling tot de vorige bewering, zijn de eerste twee bestandstypes die ik heb genoemd gebruikt om computers te besmetten via social media-berichtensystemen op Facebook en LinkedIn, zoals gemeld door Jon Fingas voor Engadget op 27 november 2016.

Wat gebeurd er?

Op 18 februari 2016 vond Symantec een nogal vreemd stukje software dat een nieuwe variant van ransomware bleek te zijn die zich via het web verspreidde (als u niet weet wat ransomware is, verwijs dit dan). Deze specifieke soort - bekend als Locky - verspreidde zich tussen januari en maart 2016 door spamberichten met bijlagen van ongeveer tien tot twintigduizend slachtoffers per week. Het is niet per se schokkend om te zien dat virussen zich op deze manier verspreiden. E-mailberichten met ZIP-bijlagen zijn sinds begin jaren negentig de beste inentingsstrategie.

Toen gebeurde er iets anders.

Tegen het einde van november 2016 begonnen gebruikers op Facebook en LinkedIn berichten te bekijken die waren verzonden met beeldbijlagen. Ze lijken redelijk veilig, maar bij opening onthulden ze een nieuwe soort van Locky die de bestanden van het systeem zou versleutelen en ze alleen zou ontgrendelen als het slachtoffer ergens tussen US $ 200 en $ 400 een losgeld betaalde. Het meest schokkende deel hiervan was dat het virus zich via afbeeldingen verspreidde in plaats van met conventionele uitgevoerde code.

Niet alles is zoals het eruit ziet

Hoewel afbeeldingen zeker worden gebruikt om mensen op sociale media te infecteren, is het niet helemaal hoe het eruit ziet! Ik heb een beetje dieper ingegaan op het mechanisme van Locky en zijn glibberige manieren, en het lijkt erop dat het verhaal meer inhoudt dan een stel JPEG's die "erop uit zijn om jou te pakken te krijgen".

Ten eerste, wat u distribueert wanneer u de malware naar iemand verzendt, is de indruk dat u iemand een afbeelding op sociale media geeft. Er is een fout in de Facebook- en LinkedIn-code waardoor bepaalde bestanden kunnen worden overgebracht met het afbeeldingpictogram, waardoor de ontvanger denkt dat hij een onschadelijke foto van iemands huisdierenkat of nieuwe tuin heeft ontvangen. Wat de ontvanger daadwerkelijk downloadt, is een HTA-bestand, een heel oud uitvoerbaar programma voor Windows dat al sinds 1999 bestaat (een ander item om toe te voegen aan de lijst met redenen waarom software in de jaren 90 volledig waanzinnig was).

Kortom, HTA-applicaties zijn als EXE's behalve dat ze gelaagd zijn bovenop "mshta.exe" en werden gebruikt door beheerders om snel wijzigingen in systemen aan te brengen. Omdat ze het volledige "vertrouwen" hebben in het systeem waarop ze draaien, zijn ze vrij om elke hoeveelheid ravage aan te richten die hun code hen toestaat.

Hoe infectie te voorkomen

Als je eenmaal bent geïnfecteerd met Locky, kun je niet veel doen, behalve hopen dat je een anti-malware-applicatie vindt die deze kan verwijderen terwijl je in de veilige modus wordt opgestart. Maar het voorkomen van de infectie is in de eerste plaats vrij eenvoudig. Wanneer u een beeldbestand op Facebook ontvangt en het heeft geen voorbeeld zoals de afbeelding hieronder, wordt u waarschijnlijk gevraagd om het te downloaden.

Nadat u het bestand heeft gedownload, controleert u de extensie ervan. Als er geen JPG, JPEG of PNG wordt vermeld of iets dat lijkt op een afbeelding, is het waarschijnlijk een virus. We hebben Locky gezien in HTA-indeling, maar het kan ook voorkomen in andere soorten uitvoerbare codes (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI, enz.). Let gewoon op voor bestandsextensies en wees op uw hoede voor alles dat u niet herkent. Een trefzekere manier om te controleren of het bestand dat u hebt ontvangen een afbeelding is, is door te kijken of Windows Verkenner u een voorbeeld geeft wanneer u de weergavestijl wijzigt in "Grote pictogrammen".

Heb je nog andere handige tips om te delen? Vertel ons in een reactie!