Locky Ransomware este mortală! Aici este tot ce trebuie să știți despre acest virus.
Locky este numele unui Ransomware care a evoluat târziu, datorită actualizării algoritmului constant de către autori. Locky, așa cum sugerează numele său, redenumește toate fișierele importante de pe PC-ul infectat, oferindu-le o extensie .locky și solicită răscumpărarea cheilor de decriptare.
Locks ransomware - Evoluție
Ransomware a crescut într-un ritm alarmant în 2016. Utilizează Email & Social Engineering pentru a intra în sistemele de calculatoare. Cele mai multe e-mail-uri cu documente malitioase au inclus populara tulpina ransomware Locky. Printre miliardele de mesaje care au folosit atașamente de documente malițioase, în jur de 97% au reprezentat Locky ransomware, ceea ce reprezintă o creștere alarmantă de 64% față de T1 2016, când a fost descoperită pentru prima dată.
Locuri de schimb a fost detectată pentru prima dată în februarie 2016 și a fost trimisă la o jumătate de milion de utilizatori. Locky a intrat în lumina reflectoarelor când, în luna februarie a acestui an, Centrul Medical Presbyterian de la Hollywood a plătit o răscumpărare Bitcoin de 17.000 de dolari pentru cheia de decriptare pentru datele pacientului. Locky Data infectate Spital printr-un atașament de e-mail deghizat ca o factură Microsoft Word.
Din februarie, Locky își lansează extensiile în încercarea de a înșela victimele că au fost infectate de un alt Ransomware. Locky a început inițial să redenumească fișierele criptate .locky și până când vara a sosit, a evoluat în .zepto extensie, care a fost utilizată în mai multe campanii de atunci.
Ultima dată, Locky criptează acum fișiere .ODIN extensie, încercând să confundăm utilizatorii că este de fapt răscumpărarea Odin.
Locky Ransomware
Locky ransomware se răspândește în principal prin intermediul campaniilor de e-mail spam care sunt conduse de atacatori. Aceste e-mailuri spam au cea mai mare parte .fișierele doc ca atașamente care conțin text scrambled care pare a fi macrocomenzi.
Un e-mail tipic folosit în distribuția ransomware Locky poate fi o factură care atrage atenția majorității utilizatorilor, De exemplu,
Subiectul e-mailului ar putea fi - "ATTN: factura P-12345678", atașament infectat -invoice_P-12345678.doc"(Conține macro-uri care descarcă și instalează software-ul Locky ransomware pe computere):"
Și corpul de e-mail - "Dragă cineva, consultați factura atașată (documentul Microsoft Word) și remiteți plata în conformitate cu termenii enumerați în partea de jos a facturii. Spuneți-ne dacă aveți întrebări. Vă mulțumim foarte mult pentru afacerea dvs.! "
Odată ce utilizatorul permite setările macro în programul Word, un fișier executabil care este de fapt răscumpărarea este descărcat pe PC. Ulterior, diferite fișiere de pe PC-ul victimei sunt criptate de către ransomware, oferindu-le unic nume de combinație de 16 litere cu .rahat, .thor, .locky, .zepto sau .Odin extensii de fișiere. Toate fișierele sunt criptate folosind RSA-2048 și AES-1024 algoritmi și necesită o cheie privată stocată pe serverele la distanță controlate de infractorii cibernetici pentru decriptare.
Odată ce fișierele sunt criptate, Locky generează o suplimentare .txt și _HELP_instructions.html fișier în fiecare folder care conține fișierele criptate. Acest fișier text conține un mesaj (după cum se arată mai jos) care informează utilizatorii despre criptare.
Acesta afirmă în continuare că fișierele pot fi decriptate numai folosind un decrypter dezvoltat de infractori cibernetici și costând .5 BitCoin. Prin urmare, pentru a obține fișierele înapoi, victima este rugată să instaleze browserul Tor și să urmeze un link furnizat în fișierele text / tapet. Site-ul web conține instrucțiuni pentru efectuarea plății.
Nu există nicio garanție că, chiar și după efectuarea plății victimei, fișierele vor fi decriptate. Dar, de obicei, pentru a-și proteja autorii de răscumpărare "reputația", stick-ul de obicei la partea lor de negociere.
Locky Ransomware schimbând de la .wsf la extensia .LNK
Publicați evoluția acestui an în februarie; Infecțiile cu infecții cu infecții Locky au scăzut treptat, cu detectări mai mici ale virusului Nemucod, pe care Locky le utilizează pentru a infecta computerele. (Nemucod este un fișier .wsf conținut în atașamente .zip în e-mail spam). Cu toate acestea, după cum raportează Microsoft, autorii Locky au schimbat atașamentul .wsf la fișiere rapide (Extensie .LNK) care conțin comenzi PowerShell pentru a descărca și a rula Locky.
Un exemplu de email spam de mai jos arată că este făcut pentru a atrage atenția imediată de la utilizatori. Este trimis cu mare importanță și cu caractere aleatorii în linia de subiect. Corpul e-mailului este gol.
E-mailul de tip spam numește în mod obișnuit numele de Bill având un atașament .zip, care conține fișierele .LNK. În deschiderea atașamentului .zip, utilizatorii declanșează lanțul de infecții. Această amenințare este detectată ca Trojandownloader: PowerShell / Ploprolo.A. Când scriptul PowerShell rulează cu succes, acesta descarcă și execută Locky într-un folder temporar care completează lanțul infecției.
Tipuri de fișiere vizate de Locky Ransomware
Mai jos sunt tipurile de fișiere vizate de Locky ransomware.
.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf .nwl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mni, .mmw, .mfw, .mef, .mdc, .lua, .kpdx,. kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .de, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6 , .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads ,. adb, .acr, .ac, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf ,. nsd, .m .dp, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xml, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr , .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html,. flv, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg , .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod ,. lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .arc, .PAQ, .tar.bz2, .tbk, .bak ,. .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf , .mdf, .ibd, .MYI, .MYD, .frm, .od b, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (copii de securitate), .sldm, .sldx, .ppsm, .ppsx , .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti ,. sx, .xp, .xml, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .dotm, .dotx, .docm, .docx, .dot, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT , .stw, .sxw, .ot, .odt, .doc, .pem, .csr, .crt, .ke.
Cum de a preveni atacul cu Locky Ransomware
Locky este un virus periculos care posedă o amenințare gravă la PC-ul tău. Este recomandat să urmați aceste instrucțiuni pentru a preveni răsfoirea și pentru a evita infectarea.
- Aveți întotdeauna un software anti-malware și un software anti-ransomware care vă protejează PC-ul și îl actualizați în mod regulat.
- Actualizați-vă sistemul de operare Windows și restul software-ului actualizat pentru a atenua posibilele exploatări software.
- Faceți copii de siguranță ale fișierelor importante în mod regulat. Este o opțiune bună să le salvezi offline decât pe un depozit de nor, deoarece virusul poate ajunge și acolo
- Dezactivați încărcarea macro-urilor în programele Office. Deschiderea unui fișier document Word infectat se poate dovedi riscantă!
- Nu deschideți în mod orb mail în secțiunile de e-mail "Spam" sau "Junk". Acest lucru vă poate ajuta să deschideți un e-mail care conține malware-ul. Gândiți-vă înainte de a face clic pe link-uri web pe site-uri sau e-mailuri sau descărcați atașamente de e-mail de la expeditori pe care nu le cunoașteți. Nu faceți clic sau nu deschideți astfel de atașamente:
- Fișiere cu extensie .LNK
- Fișiere cu extensie.wsf
- Fișiere cu extensie dublă punct (de exemplu, profil-p29d ... wsf).
Citit: Ce trebuie să faceți după un atac Ransomware pe computerul dvs. Windows?
Cum să decriptați Locky Ransomware
De acum, nu există decryptoare disponibile pentru ransomware Locky. Cu toate acestea, un Decryptor de la Emsisoft poate fi folosit pentru a decripta fișierele criptate de AutoLocky, un alt ransomware care redenumește, de asemenea, fișiere în extensia .locky. AutoLocky folosește limbajul de scriere AutoI și încearcă să imite complexul și sofisticatul ransomware Locky. Puteți vedea aici lista completă a instrumentelor de decryptor ransomware disponibile.
Surse și credite: Microsoft | BleepingComputer | PCRisk.