Om du är måttligt tekniskt kunnig, när du hör av ett system som smittats, tänker du normalt på ett körbart kodstycke som på ett eller annat sätt har kapat sina säkraste funktioner. Infektioner kan spridas på alla sätt, men en sak är säker: Länken mellan virus och körbar kod är så stark att vi inte nödvändigtvis tror att vi måste skydda oss från filtyper som JPEG, PNG-bilder och MP3-filer. Eller gör vi? I motsats till det tidigare påståendet har de två första filtyperna som nämnts har använts för att infektera datorer via sociala medier meddelandesystem på Facebook och LinkedIn, som rapporterats av Jon Fingas för Engadget den 27 november 2016.

Vad pågår?

Den 18 februari 2016 hittade Symantec ett ganska konstigt program som visade sig vara en ny variant av ransomware som sprids via webben (om du inte vet vad ransomware är, hänvisar till detta). Denna speciella stam - känd som Locky - sprids via spam-e-postmeddelanden med bilagor med ungefär tio till tjugo tusen offer per vecka mellan januari och mars 2016. Det är inte nödvändigtvis chockerande att se virus sprida sig på det här sättet. E-postmeddelanden med ZIP-bilagor har gått till inokuleringsstrategin sedan början av 90-talet.

Då hände något annat.

Mot slutet av november 2016 började användare på Facebook och LinkedIn se meddelanden som skickades med bildbilagor. De verkar ganska säkra, men när de öppnades avslöjade de en ny stam av Locky som skulle kryptera systemets filer och låsa upp dem endast om offret betalade ett lösenmedel var som helst mellan 200 och 400 dollar. Den mest chockerande delen av detta var att viruset sprids genom bilder i stället för konventionell exekverad kod.

Inte allt är som det verkar

Även om bilder verkligen används för att infektera folk på sociala medier, så är det inte riktigt hur det ser ut! Jag har tagit en lite djupare titt på Lockys mekanism och dess hala sätt, och det ser ut att det finns mer på historien än en massa JPEG-filer som är "ute för att få dig".

Först och främst, vad du distribuerar när du skickar skadlig programvara till någon är intrycket att du ger någon en bild på sociala medier. Det finns en fel i Facebook och LinkedIns kod som tillåter vissa filer att överföras med bildikonen, vilket leder mottagaren att tro att de fått en ofarlig bild av någons djurkatt eller ny trädgård. Vad mottagaren faktiskt hämtar är en HTA-fil, ett mycket gammalt körbart program för Windows som har funnits sedan 1999 (ett annat objekt som ska läggas till i listan med anledningar till att programvaran på 90-talet var helt bonkers).

I grund och botten är HTA-applikationer som EXEs förutom att de är lagrade ovanpå "mshta.exe" och användes av administratörer för att snabbt göra ändringar i system. Eftersom de har full "förtroende" för systemet som de kör på, är de fria att utöva någon mängd förödelse som deras kod tillåter dem att.

Hur man förebygger infektion

När du är smittad med Locky finns det inte mycket du kan göra förutom att du hoppas att du hittar ett program mot skadlig programvara som kan ta bort den medan du startas i Säkert läge. Men förhindra infektionen i första hand är ganska lätt. När du får en bildfil på Facebook, och den inte har en förhandsvisning som bilden nedan, kommer du förmodligen att bli ombedd att hämta den.

När du har laddat ner filen, kontrollera dess tillägg. Om det inte säger JPG, JPEG, PNG eller något som ser ut som det är en bild, är det förmodligen ett virus. Vi har sett Locky i HTA-format, men det kan också visas i andra typer av exekverbara koder (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI, etc.). Håll bara ögonen på filtillägg och var försiktig med allt du inte känner igen. Ett säkert sätt att kontrollera om filen du fick är en bild genom att se om Utforskaren ger dig en förhandsgranskning när du ändrar visningsstilen till "Stora ikoner".

Har du några andra tips för att dela med dig? Berätta för oss i en kommentar!