De Locky-ransomware was de afgelopen weken regelmatig in het nieuws omdat het allerlei organisaties en gebruikers infecteerde, waarop de de Duitse overheid en Microsoft met waarschuwingen kwamen, maar volgens onderzoeker Sylvain Sarméjeanne is de ransomware eenvoudig te neutraliseren.
Sarméjeanne onderzocht de ransomware, die allerlei bestanden op computers voor losgeld versleutelt. Zo blijkt Locky computers met een Russische taalinstelling niet te infecteren. Het aanpassen van de taalinstelling kan een infectie dan ook voorkomen, maar is volgens de onderzoeker voor de meeste mensen niet werkzaam. Het aanpassen van het Windowsregister is dat mogelijk wel. Voordat Locky bestanden gaat versleutelen worden er namelijk eerst bepaalde waardes in het Windowsregister gecontroleerd.
Na het controleren van de taalinstelling probeert Locky een registersleutel in het Windowsregister aan te maken. Als die sleutel echter al aanwezig is, stopt Locky met werken. Is de sleutel niet aanwezig, dan wordt die door Locky aangemaakt en controleert de ransomware vervolgens andere waardes in het Windowsregister. Het aanmaken van deze waardes zorgt er wederom voor dat Locky stopt en geen bestanden versleutelt. Een andere oplossing die het versleutelen voorkomt is het toevoegen van informatie in het Windowsregister die Locky voor de encryptiesleutel gebruikt.
"De afgelopen weken heeft Locky voor veel problemen gezorgd, maar er zijn eenvoudige maatregelen die wanneer ingeschakeld voorkomen dat bestanden worden versleuteld, zonder dat hier anti-virussoftware of securitytools aan te pas komen", aldus Sarméjeanne. Eerder stelde ook de Oostenrijkse beveiligingsexpert Robert Penz dat infecties via Locky door het volgen van verschillende algemene beveiligingsprocedures eenvoudig zijn te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.