画像がソーシャルメディアを介してコンピュータに感染する方法

ある程度技術に精通している場合、システムが感染していると聞いたときはいつでも、通常、最も安全な機能を何らかの形で乗っ取った実行可能コードを思い浮かべます。感染はさまざまな方法で広がる可能性がありますが、確かなことが1つあります。ウイルスと実行可能コードの間のリンクは非常に強力であるため、JPEG、PNG画像、MP3ファイルなどのファイルタイプから身を守る必要があるとは限りません。それとも私たちですか？ 2016年11月27日にJonFingasfor Engadgetによって報告されたように、前の主張とは異なり、私が言及した最初の2つのファイルタイプは、FacebookとLinkedInのソーシャルメディアメッセージングシステムを介してコンピューターに感染するために使用されました。

何が起こっているのですか？

2016年2月18日、ノートンライフロックは、Web全体に広がるランサムウェアの新しい亜種であることが判明したかなり奇妙なソフトウェアを発見しました（ランサムウェアが何であるかわからない場合は、これを参照してください）。 Lockyとして知られるこの特定の株は、2016年1月から3月の間に週に約1万から2万人の犠牲者の割合で添付ファイル付きのスパムメールを介して広がりました。ウイルスがこのように広がるのを見るのは必ずしも衝撃的ではありません。 ZIPが添付された電子メールメッセージは、90年代初頭から接種戦略として人気がありました。

その後、何か別のことが起こりました。

2016年11月末にかけて、FacebookとLinkedInのユーザーは、画像が添付されたメッセージが表示されるようになりました。彼らはかなり安全に見えますが、開いたときに、被害者が200ドルから400ドルの間の身代金を支払った場合にのみ、システムのファイルを暗号化してロックを解除する新しい種類のLockyを明らかにしました。これの最も衝撃的な部分は、ウイルスが従来の実行されたコードではなく画像を介して拡散したことでした。

すべてが見た目どおりではない

画像は確かにソーシャルメディア上の人々に感染するために使用されていますが、それは見た目とはまったく異なります。 Lockyのメカニズムとその滑りやすい方法についてもう少し詳しく見てきましたが、ストーリーには「あなたを手に入れる」ためのJPEGの束よりも多くのものがあるようです。

まず、マルウェアを誰かに送信するときに配布するのは、印象です。 ソーシャルメディアで誰かに画像を提供していること。 FacebookとLinkedInのコードには欠陥があり、特定のファイルを画像アイコンで転送できるため、受信者は誰かのペットの猫や新しい庭の無害な写真を受け取ったと信じ込ませます。受信者が実際にダウンロードするのは、1999年以来存在しているWindows用の非常に古い実行可能プログラムであるHTAファイルです（90年代のソフトウェアが完全に狂った理由のリストに追加するもう1つの項目）。

基本的に、HTAアプリケーションはEXEに似ていますが、「mshta.exe」の上に階層化され、管理者がシステムに迅速に変更を加えるために使用した点が異なります。彼らは彼らが実行しているシステムの完全な「信頼」を持っているので、彼らは彼らのコードが彼らに許すどんな量の大混乱も自由に壊すことができます。

感染を防ぐ方法

Lockyに感染すると、セーフモードで起動しているときにマルウェアを削除できるマルウェア対策アプリケーションが見つかることを期待する以外に、できることはほとんどありません。しかし、そもそも感染を防ぐのはかなり簡単です。 Facebookで画像ファイルを受け取り、下の画像のようなプレビューがない場合は、ダウンロードするように求められる可能性があります。

ファイルをダウンロードしたら、拡張子を確認します。 JPG、JPEG、PNGなど、画像のように見えるものが表示されていない場合は、ウイルスである可能性があります。 LockyはHTA形式で表示されていますが、他の種類の実行可能コード（.COM、.PIF、.SCR、.CPL、.JAR、.APPLICATION、.EXE、.MSIなど）でも表示される可能性があります。ファイル拡張子に注意し、見覚えのないものには注意してください。受け取ったファイルが画像であるかどうかを確認する確実な方法の1つは、表示スタイルを「大きなアイコン」に変更したときにWindowsエクスプローラーでプレビューが表示されるかどうかを確認することです。

他に共有すべき気の利いたアドバイスはありますか？コメントで教えてください！