Locky on Ransomware'i nimi, mis on hiljaks arenenud, tänu autorite pidevale algoritmile. Locky, nagu soovitas oma nime, nimetab ümber kõik olulised failid nakatunud arvutisse, andes neile laienduse lukus ja nõuab dekodeerimisvõtmete eest tagasivõtmist.
Locky ransomware - Evolution
Ransomware on kasvanud murettekitava kiirusega 2016. aastal. See kasutab teie arvutisüsteemide sisestamiseks Email & Social Engineering. Enamik e-kirju, milles on kaasatud pahatahtlikud dokumendid, on populaarne ransomware tüve Locky. Mõningast miljardist sõnumitest, mis kasutasid pahatahtlike dokumentide manuseid, oli ligikaudu 97% Locky ransomäärt, mis on murettekitavalt suurenenud võrreldes 2016. aasta 1. kvartaliga, kui see esmakordselt avastati.
The Locky ransomware leiti esmakordselt 2016. aasta veebruaris ja saadeti saadeti poole miljoni kasutajale. Locky jõudis tähelepanu keskpunktisse, kui Hollywoodi presbüteriaarstikeskus maksis selle aasta veebruaril patsiendi andmete dekrüpteerimisvõtme eest ligi 17 000 dollarit bikkiini. Locky nakatunud haigla andmed e-posti manuse kaudu, mis on varjatud Microsoft Wordi arvetena.
Alates veebruarist on Locky oma võrgupikendusi aheldanud, et petta ohvreid, et nad on teise Ransomware'i poolt nakatunud. Locky alustas krüptitud failide ümbernimetamist lukus ja aastate suve saabudes kujunes see välja .zepto pikendamine, mida on mitmes kampaanias kasutatud alates aastast.
Viimati kuulas Locky nüüd krüptimist failidega .ODIN laiendamine, üritades segamini ajada kasutajaid, et see on tegelikult Odini ransomäär.
Locky Ransomware
Locky ransomware levib peamiselt ründaja rämpsposti e-posti teel. Need rämpsposti meilid on enamasti .doc failid manusteks mis sisaldavad moonutatud teksti, mis näib olevat makrodega.
Locky ransomware turustamisel kasutatav tüüpiline e-posti aadress võib olla arve, mis suunab kasutaja kõige rohkem tähelepanu. Näiteks
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Kui kasutaja lubab Wordi programmis makroätteid, laaditakse arvutile alla käivitatav fail, mis on tegelikult ransomäärt. Seejärel krüpteeritakse ransomäärne ohvri arvuti eri failid, andes neile unikaalsete 16 tähtnumbriliste kombinatsiooninimede koos .shit, …, lukus, .zepto või .odin faililaiendid. Kõik failid on krüptitud kasutades RSA-2048 ja AES-1024 algoritme ja nõuab krüpteerimise eesmärgil küberkurjategijate poolt kontrollitavate serverite serveritele salvestatud privaatvõtme kasutamist.
Kui failid krüpteeritakse, genereerib Locky täiendava faili .txt ja _HELP_instructions.html faili igas kaustas, mis sisaldab krüptitud faile. See tekstifail sisaldab sõnumit (nagu allpool näidatud), mis teavitab kasutajaid krüpteeringust.
Locky Ransomware muutub.wsf-lt.LNK laienduseks
Postita oma areng selle aasta veebruaris; Lokaalsed ransomäärsete infektsioonid on järk-järgult vähenenud väiksema avastusega Nemucod, mida Locky kasutab arvutite nakatamiseks. (Nemucod on.wsf-fail, mis sisaldub rämpsposti meilides.zip-manuseid). Kuid nagu Microsofti aruanded näitavad, on Locky autorid manust muutnud .wsf failid et otseteefailid (.LNK laiend), mis sisaldavad PowerShelli käske, et Locky allalaadida ja käivitada.
Allpool olev rämpsposti näide näitab, et see on tehtud, et meelitada kasutajaid kohest tähelepanu. See saadetakse väga olulise ja juhusliku tähemärgiga teemareal. E-kirja kiri on tühi.
Rämpspost tavaliselt nimetatakse, kui Bill saabub.zip-i lisamisega, mis sisaldab.LNK-faile..Zip-i manuse avamisel käivitavad kasutajate nakkusketid. See oht on tuvastatud kui TrojanDownloader: PowerShell / Ploprolo.A. Kui PowerShelli skript edukalt käivitub, laaditakse alla ja käivitatakse Locky ajutise kataloogi, mis lõpeb infektsiooni ahelas.
Locky Ransomware poolt sihitud failide tüübid
Allpool on toodud Locky ransomware poolt sihitud failitüübid.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Kuidas Locky Ransomware rünnak ära hoida?
Locky on ohtlik viirus, millel on teie arvutile tõsine oht. Soovitatav on järgida neid juhiseid, et vältida ransomäärist ja vältida nakatumist.
- Viirusetõrjetarkvara ja anti-ransomware-tarkvara, mis kaitseb teie arvutit ja ajakohastab seda regulaarselt, alati olemas.
- Värskendage oma Windowsi operatsioonisüsteemi ja ülejäänud tarkvara uuendatud, et leevendada võimalikke tarkvarakasutusi.
- Korralikult varundage olulised failid. On hea võimalus, et need salvestatakse võrguühenduseta kui pilve ladustamiseks, kuna viirus võib seal ka jõuda
- Keela Macro laadimine Office'i programmides. Nakatunud Wordi dokumendi faili avamine võib osutuda ohtlikuks!
- Ärge pimesi avatud kirjad rämpsposti või rämpsposti jaotises. See võib petta teid pahavara sisaldava e-kirja avamisse. Mõtle enne veebisaitide või meilide veebilinkide klõpsamist või e-posti manuste allalaadimist saatjatelt, mida te ei tea. Ärge klõpsake ega avage selliseid manuseid:
- Failid laiendiga.LNK
- Failid with.wsf laiendiga
- Kahepunkti pikendusega failid (näiteks profile-p29d..wsf).
Loe: Mida teha pärast Ransomware rünnakut teie Windowsi arvutile?
Locky Ransomware dekrüpteerimine
Praegu ei ole Locky ransomaterjali jaoks saadaval dekrüpteerimist. Samas saab Emsisoft'i dekriptoreid kasutada krüptitud failide dekrüpteerimiseks AutoLocky, teine ransomäärt, mis nimetab faile ümber ka.locky laienduseks. AutoLocky kasutab skriptikeele AutoI ja üritab jäljendada kompleksset ja keerukat Locky ransomarat. Siin saate vaadata kõiki olemasolevaid ransomarat dekrüpteerimisvahendeid.
Allikad ja krediidid: Microsoft | BleepingComputer | PCRisk.
