Locky egy Ransomware név, amely későn alakult ki, köszönhetően a szerzők állandó algoritmusának frissítésének. Locky, amint azt a neve is sugallja, átnevezi az összes fontos fájlt a fertőzött PC-n, amely kiterjesztést ad .locky és felszolgálói díjat kér a dekódoló kulcsokért.
Locky ransomware - Evolution
A Ransomware 2016-ban riasztó ütemben nőtt fel. Az E-mail és a Szociális Technikát a számítógépes rendszerekbe való belépéshez használja. A legtöbb rosszindulatú dokumentummal ellátott e-mail a Locky népszerű hírszerzési törzsével foglalkozott. A rosszindulatú dokumentumok mellékleteit tartalmazó üzenetek milliárdjainál a 97% -nak Locky ransomware volt, ami riasztó 64% -os növekedést jelent a 2016-os első negyedévben, amikor először felfedezték.
A Locky ransomware először 2016 februárjában észlelték, és azt állítólag félmillió felhasználónak küldték. Locky előtérbe került, amikor ez év februárjában a Hollywood Presbyterian Medical Center 17 000 dolláros Bitcoin váltságdíjat fizetett a betegadatok titkosítási kulcsért. Locky megfertőzte a Kórház adatait egy e-mail mellékleten keresztül, amelyet Microsoft Word számlára álcáztak.
Február óta Locky láncolja a kiterjesztéseit annak érdekében, hogy becsapja az áldozatokat, hogy egy másik Ransomware fertőzött meg. A Locky eredetileg átnevezte a titkosított fájlokat .locky és amikor nyáron érkezett, az a .zepto kiterjesztés, amelyet már több kampányban használtak.
Utoljára hallottuk, Locky titkosítja a fájlokat .ODIN kiterjesztés, megpróbálva összekeverni a felhasználókat, hogy valóban az Odin ransomware.
Locky Ransomware
A Locky ransomware elsősorban a támadók által működtetett levélszemét-kampányokon keresztül terjed. Ezek a spam e-mailek többnyire .doc fájlokat csatolmányként amelyek tartalmaznak kódolt szövegeket, amelyek makróként jelennek meg.
A Locky ransomware disztribúciójában használt tipikus e-mail lehet olyan számla, amely elkapja a legtöbb felhasználó figyelmét. Például,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Miután a felhasználó engedélyezte a makró beállításokat a Word programban, egy futtatható fájl, amely valójában az iranómotor lesz letöltve a számítógépen. Ezután az áldozat PC-jén lévő különféle fájlokat titkosítják a felszabadító szoftver, amely egyedi 16 betűs-kombinációval .szar, .thor, .locky, .zepto vagy .odin fájlkiterjesztések. Minden fájl titkosítása a RSA-2048 és AES-1024 algoritmusokat, és megköveteli a titkos kulcs tárolását a távoli szerverek által ellenőrzött a számítógépes bűnözők a dekódoláshoz.
Miután a fájlok titkosítva lettek, a Locky újabbakat hoz létre .txt és _HELP_instructions.html fájl a titkosított fájlokat tartalmazó mappákban. Ez a szövegfájl tartalmaz egy üzenetet (az alábbiak szerint), amely tájékoztatja a felhasználókat a titkosításról.
Locky Ransomware változó.wsf-ról.LNK kiterjesztésűre
Februárban tegye közzé az evolúciót; A Locky ransomware fertőzések fokozatosan csökkentek a kisebb észlelések miatt Nemucod, amelyet Locky használ fertőzni a számítógépeket. (Nemucod egy.wsf fájl, amely a.zip mellékletekben található a spam e-mailben). Azonban a Microsoft beszámolóként a Locky szerzői megváltoztatták a mellékletet .wsf fájlok nak nek parancsikonok (.LNK kiterjesztés), amely PowerShell parancsokat tartalmaz a Locky letöltéséhez és futtatásához.
Az alábbi levélszemétnek egy példája azt mutatja, hogy azonnali figyelmet szentel a felhasználóknak. Nagyon fontos és véletlenszerű karakterekkel érkezik a tárgysorba. Az e-mail teste üres.
A levélszemét-üzenetek általában a Bill nevűek.zip mellékleteként érkeznek, amely tartalmazza a.LNK fájlokat. A.zip melléklet megnyitásakor a felhasználók kiváltják a fertőzés láncát. Ez a fenyegetés felismerhető Trojandownloader: PowerShell / Ploprolo.A. Amikor a PowerShell szkript sikeresen fut, letölti és végrehajtja a Locky-t egy fertőzött láncot kitöltő ideiglenes mappában.
A Locky Ransomware által célzott fájlformátumok
Az alábbiakban olvashatók a Locky ransomware által célzott fájlok.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Hogyan lehet megakadályozni a Locky Ransomware támadást?
Locky egy veszélyes vírus, amely súlyos veszélyt jelent a számítógépére. Javasoljuk, hogy kövesse ezeket az utasításokat, hogy megakadályozzák az átmentési programokat, és ne fertőződjenek meg.
- Mindig legyen anti-malware szoftver és anti-ransomware szoftver, amely védi a számítógépet és rendszeresen frissíti.
- Frissítse a Windows operációs rendszert és a többi szoftvert naprakészen, hogy mérsékelje a lehetséges szoftverhiányokat.
- Rendszeresen készítsen biztonsági másolatot a fontos fájljairól. Ez jó lehetőség arra, hogy mentse őket offline, mint egy felhő tároló, mivel a vírus is elérheti is
- Letiltja a makrók betöltését az Office programokban. A fertőzött Word dokumentumfájl megnyitása kockázatos lehet!
- Ne nyissa meg vakon az e-maileket a "Spam" vagy a "Junk" e-mail szakaszokban. Ez trükköt tehet egy rosszindulatú programot tartalmazó e-mail megnyitásakor. Gondolja, mielőtt weboldalakra vagy e-mailekre mutató webes hivatkozásokra kattintott, vagy elküldte az e-mail mellékleteket olyan feladóktól, amelyeket nem tud. Ne kattintson vagy nyissa meg az ilyen mellékleteket:
- .LNK kiterjesztésű fájlok
- Files with.wsf kiterjesztés
- Dupla kiterjesztésű fájlok (például profil-p29d..wsf).
Olvas: Mit kell tennie a Ransomware támadása után a Windows számítógépen?
A Locky Ransomware dekódolása
Mostantól nincsenek dekódolók a Locky ransomware-hez. Az Emsisoft Decryptorja azonban használható a titkosított fájlok dekódolására AutoLocky, egy másik feltörő program, amely szintén átnevezi a.locky kiterjesztésű fájlokat. Az AutoLocky az AutoI parancsfájl nyelvét használja, és megpróbálja utánozni az összetett és kifinomult Locky ransomware-t. Itt láthatja az elérhető ransomware dekryptor eszközök teljes listáját.
Források és hitelek: Microsoft BleepingComputer | PCRisk.
