Locky je naziv Ransomwarea koji se kasnije razvio, zahvaljujući stalnoj nadogradnji algoritma svojih autora. Locky, kako je predložio njegovo ime, preimenuje sve važne datoteke na zaraženom računalu dajući im produžetak .locky i traži otkupninu za ključeve za dešifriranje.
Locky ransomware - Evolution
Ransomware je narasla na alarmantnu stopu u 2016. Ona koristi e-poštu i društveno inženjerstvo za ulazak u vaše računalne sustave. Većina poruka e-pošte s zlonamjernim dokumentima priloženom popularnom popularnom ransom serotipu Locky. Među milijardama poruka koje su koristile zlonamjerne privitke dokumentima, oko 97% sadržano je Locky ransomware, što je alarmantno povećanje od 64% od prvog tromjesečja 2016. kada je prvi put otkriven.
Locky otkupninu prvi put je otkrivena u veljači 2016. i navodno je poslana na pola milijuna korisnika. Locky je došao u središte pozornosti kada je u veljači ove godine Hollywood Presbyterian Medical Center isplatio 17.000 dolara otkupnine Bitcoina za ključ za dešifriranje podataka pacijenata. Locky je zaražen bolničkim podacima putem privitka e-pošte prerušenog u račun Microsoft Word.
Od veljače, Locky je povezao svoje proširenje u pokušaju zavaravanja žrtava da su zaražene različitim Ransomwareom. Locky je počeo izvorno preimenovati šifrirane datoteke .locky i do vremena kada je stiglo ljeto, evoluiralo je u .zepto proširenje, koje se već upotrebljava u više kampanja.
Posljednje čuo, Locky sada šifrira datoteke .ODIN proširenje, pokušavajući zbuniti korisnike da je zapravo Odin ransomware.
Locky Ransomware
Locky ransomware pretežno se širi putem spam kampanje e-pošte koje upravljaju napadači. Ove neželjene poruke e-pošte uglavnom su . doc datoteke kao privitke koji sadrže kodirani tekst kao makronaredbe.
Tipična e-pošta koja se koristi u distribuciji Locky ransomware može biti faktura koja privlači većinu pozornosti korisnika, Na primjer,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Nakon što korisnik omogući postavke makronaredbi u programu Word, izvršna datoteka koja je zapravo otkupna sredstva preuzeta je na računalu. Nakon toga, razne datoteke na žrtvinom računalu šifrirane su od strane otkupnine, dajući im jedinstvene kombinacije imena od 16 slovnih znamenaka .sranje, .thor, .locky, .zepto ili .Odin proširenja datoteka. Sve datoteke su šifrirane koristeći RSA-2048 i AES-1024 algoritmi i zahtijevaju privatni ključ pohranjen na udaljenim poslužiteljima koje kontroliraju cyber kriminalci za dešifriranje.
Nakon što su datoteke šifrirane, Locky stvara dodatni .txt i _HELP_instructions.html u svakoj mapi koja sadrži šifrirane datoteke. Ova tekstualna datoteka sadrži poruku (kao što je prikazano u nastavku) koja obavještava korisnike o šifriranju.
Locky Ransomware mijenja od.wsf do.LNK ekstenzije
Pošaljite svoju evoluciju ove godine u veljači; Locky ransomware infekcije postupno su se smanjile s manjim detekcijama Nemucod, koji Locky koristi za zarazu računala. (Nemucod je.wsf datoteka sadržana u.zip privicima u e-pošti spam). Međutim, kao Microsoftovi izvještaji, autori Locky izmijenili su privitak .wsf datoteke do prečac datoteke (.LNK proširenje) koje sadrže PowerShell naredbe za preuzimanje i pokretanje Lockyja.
Primjer e-pošte s neželjenom poštom u nastavku pokazuje da je napravljena kako bi privukla trenutnu pozornost korisnika. Poslan je s velikim značenjem i sa slučajnim likovima u naslovu. Tijelo e-pošte je prazno.
E-mail neželjene pošte obično se naziva Bill koji dolazi s privremenom zip datotekom, koji sadrži datoteke.LNK. Pri otvaranju privitka.zip, korisnici pokreću lanac zaraze. Ova prijetnja je otkrivena kao Trojandownloader.Small.ZL: PowerShell / Ploprolo.A, Kada PowerShell skriptu uspješno radi, preuzima i izvršava Locky u privremenoj mapi koja dovršava lanac infekcije.
Vrste datoteka koje cilja Locky Ransomware
Ispod su vrste datoteka koje cilja Locky ransomware.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Kako spriječiti napad Locky Ransomware
Locky je opasan virus koji posjeduje veliku prijetnju vašem računalu. Preporučujemo da slijedite ove upute kako biste spriječili otkazivanje otpada i izbjegli zaraženost.
- Uvijek imate softver za zaštitu od zlonamjernih programa i anti-ransomware softver koji štiti vaše računalo i ažurira ga redovito.
- Ažurirajte operativni sustav Windows i ostatak softvera ažurnim kako biste ublažili moguće poteškoće s softverom.
- Redovito sigurnosno kopirajte važne datoteke. To je dobar izbor da ih spremite izvanmrežno nego na pohranu u oblaku jer virus može doći i tamo
- Onemogućite učitavanje makronaredbi u programima Office. Otvaranje zaražene datoteke Word dokumenta može se pokazati riskantnim!
- Nemojte slijepo otvoriti poštu u odjeljcima e-pošte "Spam" ili "Junk". To bi vas moglo zavarati u otvaranju e-pošte koja sadrži zlonamjerni softver. Razmislite prije nego što kliknete na web-veze na web-lokacijama ili e-porukama ili preuzimate privitke e-pošte od pošiljatelja koje ne znate. Ne klikajte niti otvorite takve privitke:
- Datoteke s nastavkom.LNK
- Datoteke with.wsf produžetak
- Datoteke s proširenjem dvostruke točke (na primjer, profil-p29d..wsf).
Čitati: Što učiniti nakon Ransomware napada na Windows računalo?
Kako dekriptirati Locky Ransomware
Od sada, za Locky ransomware nema dostupnih dešifriranja. Međutim, Decryptor iz Emsisoft može se koristiti za dekriptiranje datoteka šifriranih od strane AutoLocky, još jedan otkupnjelo sredstvo koje također preimenuje datoteke na.locky ekstenziju. AutoLocky koristi jezik skriptiranja AutoI i pokušava oponašati složene i sofisticirane Locky ransomware. Ovdje možete vidjeti kompletan popis dostupnih ransomware dekriptirajućih alata.
Izvori & krediti: Microsoft | BleepingComputer | PCRisk.