Locky Ransomware jest zabójcze! Oto wszystko, co powinieneś wiedzieć o tym wirusie.

Locky to nazwa oprogramowania ransomware, które rozwija się późno dzięki stałej aktualizacji algorytmu przez jego autorów. Locky, jak sugeruje jego nazwa, zmienia nazwy wszystkich ważnych plików na zainfekowanym komputerze, dając im rozszerzenie.locky i żąda okupu za klucze odszyfrowywania.

Locky ransomware - Evolution

Ransomware urósł w alarmującym tempie w 2016 roku. Korzysta z poczty elektronicznej i inżynierii społecznej do wprowadzania systemów komputerowych. Większość e-maili z załączonymi złośliwymi dokumentami zawierała popularny blokujący ransomware Locky. Spośród miliardów wiadomości wykorzystujących złośliwe załączniki do dokumentów, 97% zawierało ransomware Locky, czyli niepokojący wzrost o 64% od pierwszego kwartału 2016 r.

Po raz pierwszy wykryto ransomware Locky W lutym 2016 r. Został wysłany do pół miliona użytkowników. Locky wyszedł na światło dzienne, gdy w lutym tego roku hollywoodzkie Presbyterian Medical Center zapłaciło okup za Bitcoin za klucz odszyfrowywania danych pacjenta. Locky zarażał dane szpitala za pomocą załącznika do wiadomości e-mail pod przykrywką faktury Microsoft Word.

Od lutego Locky łączy swoje rozszerzenia w celu oszukania ofiar, które zostały zainfekowane przez inne oprogramowanie ransomware. Locky zaczął początkowo zmieniać nazwy zaszyfrowanych plików na .locky , a kiedy nadszedł lato, przekształciło się w rozszerzenie .zepto , które było używane w wielu kampaniach od tego czasu.

Ostatnia wiadomość, Locky teraz szyfruje pliki z rozszerzeniem .ODIN , próbując dezorientować użytkowników, że tak naprawdę jest to ransomware Odin.

Locky Ransomware

Locky ransomware rozprzestrzenia się głównie poprzez kampanie spamu prowadzone przez atakujących. Te wiadomości spamowe zawierają głównie pliki.doc jako załączniki , które zawierają makrowany tekst wyglądający jak makra.

Typowy adres e-mail używany w dystrybucji Locky ransomware może być fakturą zwracającą uwagę większości użytkowników, na przykład

Temat wiadomości e-mail może być - "ATTN: Faktura P-12345678", zainfekowany załącznik - " faktura_P-12345678.doc " (zawiera makra, które pobierają i instalują oprogramowanie Locky ransomware na komputerach): "

I treść wiadomości e-mail -" Szanowny ktoś, zapoznaj się z załączoną fakturą (dokument Microsoft Word) i przepłać płatność zgodnie z warunkami podanymi na dole faktury. Daj nam znać, jeśli masz jakieś pytania. Bardzo doceniamy Twój biznes! "

Gdy użytkownik włączy makro w programie Word, plik wykonywalny, który jest faktycznie oprogramowaniem ransomware, zostanie pobrany na komputer. Następnie różne pliki na komputerze ofiary są szyfrowane przez oprogramowanie ransomware, nadając im unikalne 16-znakowe nazwy kombinacji z .shit , .thor , .locky , .zepto lub .odin rozszerzeń plików. Wszystkie pliki są szyfrowane przy użyciu algorytmów RSA-2048 i AES-1024 i wymagają klucza prywatnego przechowywanego na zdalnych serwerach kontrolowanych przez cyberprzestępców w celu odszyfrowania.

Po zeskanowaniu są szyfrowane, Locky generuje dodatkowy plik .txt i _HELP_instructions.html w każdym folderze zawierającym zaszyfrowane pliki. Ten plik tekstowy zawiera komunikat (jak pokazano poniżej), który informuje użytkowników o szyfrowaniu.

Dalej stwierdza, że ​​pliki można odszyfrować tylko za pomocą rozszyfrowania opracowanego przez cyberprzestępców i kosztującego.5 BitCoin. W związku z tym, aby odzyskać pliki, ofiara jest proszony o zainstalowanie przeglądarki Tor i wykonanie linku podanego w plikach tekstowych / tapecie. Witryna zawiera instrukcje dotyczące dokonania płatności.

Nie ma gwarancji, że nawet po dokonaniu deszyfrowania danych o ofiarach płatności. Ale zwykle w celu ochrony swoich "reputacyjnych" twórców oprogramowania ransomware zwykle trzymają się swojej części umowy.

Locky Ransomware zmienia się z.wsf na.LNK extension

Opublikuj swoją ewolucję w tym roku w lutym; Infekcje Locky ransomware stopniowo się zmniejszały przy mniejszych wykrywaniach Nemucod , których Locky używa do infekowania komputerów. (Nemucod to plik.wsf zawarty w załącznikach.zip w wiadomościach spamowych). Jednak, jak donosi Microsoft, autorzy Locky zmienili załącznik z plików.wsf na plików skrótów (rozszerzenie LNK), które zawierają polecenia PowerShell do pobrania i uruchomienia Locky.

An przykład poniższego spamu pokazuje, że ma on przyciągać natychmiastową uwagę użytkowników. Wysyła się z dużą wagą i losowymi znakami w temacie. Treść wiadomości e-mail jest pusta.

E-mail ze spamem zazwyczaj pojawia się, gdy przychodzi Bill z załącznikiem.zip, który zawiera pliki.LNK. Podczas otwierania załącznika.zip użytkownicy uruchamiają łańcuch infekcji. To zagrożenie jest wykrywane jako TrojanDownloader: PowerShell / Ploprolo.A . Po pomyślnym uruchomieniu skryptu PowerShell pobierze i wykona Locky w folderze tymczasowym kończącym łańcuch infekcji.

Typy plików atakowanych przez Locky Ransomware

Poniżej znajdują się typy plików atakowanych przez Locky ransomware.

.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q krowa,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.il,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,. accdb,.7zip,.xls,.wab, ​​.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litem,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

zapobiec atakowi Locky Ransomware

Locky to niebezpieczny wirus, który ma poważne zagrożenie dla twojego komputera. Zaleca się, abyś postępował zgodnie z tymi instrukcjami, aby zapobiec ransomware i uniknąć infekcji.

1. Zawsze korzystaj z oprogramowania antywirusowego i oprogramowania antywirusowego chroniącego komputer i regularnie je aktualizuj.
2. Zaktualizuj system operacyjny Windows i resztę oprogramowania, aby złagodzić możliwe exploity oprogramowania.
3. Regularnie twórz kopie zapasowe ważnych plików. Dobrym rozwiązaniem jest zapisanie ich w trybie offline niż w pamięci w chmurze, ponieważ wirus może tam również dotrzeć
4. Wyłącz ładowanie makr w programach pakietu Office. Otwarcie zainfekowanego pliku dokumentu programu Word może okazać się ryzykowne!
5. Nie ślepo otwieraj wiadomości w sekcjach wiadomości e-mail "Spam" lub "Śmieci". Może to skłonić Cię do otwarcia wiadomości e-mail zawierającej złośliwe oprogramowanie. Zastanów się, zanim klikniesz linki w witrynach internetowych lub e-mailach lub pobierzesz załączniki e-mail od nadawców, których nie znasz. Nie klikaj ani nie otwieraj takich załączników:
1. Pliki z rozszerzeniem.LNK
2. Pliki z rozszerzeniem.wsf
3. Pliki z rozszerzeniem podwójnej kropki (na przykład profil-p29d … wsf).

Czytaj : Co zrobić po ataku typu Ransomware na komputer z systemem Windows?

Jak odszyfrować Locky Ransomware

Do tej pory nie ma dostępnych deszyfratorów dla oprogramowania Locky ransomware. Jednak Decryptor od Emsisoft może zostać użyty do odszyfrowania plików zaszyfrowanych przez AutoLocky , kolejne oprogramowanie ransomware, które zmienia nazwy plików na rozszerzenie.locky. AutoLocky wykorzystuje język skryptowy AutoI i próbuje naśladować złożone i wyrafinowane oprogramowanie ransomware Locky. Możesz zobaczyć pełną listę dostępnych narzędzi odszyfrowywania ransomware tutaj.

Źródła i kredyty : Microsoft | BleepingComputer | PCRisk.