Noul ransomware a început să devină din ce în ce mai vizibil pe Facebook şi pe LinkedIn în ultima săptămână, exploatând vulnerabilităţi din cele două site-uri. O firmă de securitate israeliană, Check Point, arată că problemele de pe cele două site-uri permit unei simple imagini ce conţine codul malware să se descarce automat pe calculator. Cei ce sesizează acest download şi apasă pe fotografie permit ransomware-ului „Locky” să se instaleze pe calculatorul-ţintă.

Locky este un ransomware ce a apărut la începutul lui 2016 şi funcţionează ca majoritatea malware-ului de acest fel. Acesta criptează fişierele de pe calculatorul victimei şi cere utilizatorului aproximativ 0,5 bitcoins, pentru cheia de decriptare. Înainte, Locky se folosea de o funcţie macro din documente Word şi din email-uri spam, dar Check Point arată că în ultima săptămână, malware-ul a devenit extrem de vizibil pe reţelele sociale.

Echipa de le firma de securitate a afirmat că va detalia modul de lucru al exploit-ului doar după ce vulnerabilitatea este rezolvată de Facebook şi LinkedIn. Aceştia afirmă însă că atacatorii se folosesc de o configuraţie greşită din infrastructura site-urilor pentru a forţa calculatoarele să descarce fişierul. Astfel, computerul este infectat imediat ce utilizatorul apasă pe fişierul descărcat.

Modul de funcţionare al lui Locky este similar cu cel al oricărui alt ransomware de pe internet. Acesta criptează mai multe foldere şi în fiecare astfel de folder atacat veţi găsi fişiere redenumite astfel: „F67091F1D24A922B1A7FC27E19A9D9BC.locky”, alături de un document text care oferă instrucţiuni cu privire la recuperarea datelor. Malware-ul schimbă şi wallpaper-ul din Windows cu un mesaj care indică locul unde se poate face plata şi stochează şi o serie de date în registrul sistemului de operare.