Locky Ransomware je smrteľný! Tu je všetko, čo by ste mali vedieť o tomto víruse.

Obsah:

Locky Ransomware je smrteľný! Tu je všetko, čo by ste mali vedieť o tomto víruse.
Locky Ransomware je smrteľný! Tu je všetko, čo by ste mali vedieť o tomto víruse.

Video: Locky Ransomware je smrteľný! Tu je všetko, čo by ste mali vedieť o tomto víruse.

Video: Locky Ransomware je smrteľný! Tu je všetko, čo by ste mali vedieť o tomto víruse.
Video: James Lyne: Everyday cybercrime -- and what you can do about it - YouTube 2024, Marec
Anonim

Locke je názov Ransomware, ktorý sa vyvíjal neskoro, vďaka neustálej aktualizácii algoritmov od jeho autorov. Locky, ako to naznačuje jeho meno, premenuje všetky dôležité súbory na infikovanom počítači, čím im dáva predĺženie .locky a požaduje výkupné za dešifrovacie kľúče.

Locky ransomware - Evolúcia

Ransomware vzrástol alarmujúcim tempom v roku 2016. Používa technológiu Email & Social Engineering na zadanie počítačových systémov. Väčšina e-mailov s pripojenými škodlivými dokumentmi predstavovala populárny ransomwarový kmeň Locky. Spomedzi miliárd správ, ktoré používali prílohy škodlivých dokumentov, asi 97% predstavovalo softvér Locky ransomware, čo je alarmujúce 64% nárast od prvého štvrťroka 2016, keď bol prvýkrát objavený.

Záložný softvér Locky bol prvýkrát zistený vo februári 2016 a údajne bol odoslaný pol milióna užívateľov. Spoločnosť Locky sa dostala do popredia, keď vo februári tohto roka Hollywood Presbyterian Medical Center zaplatilo 17 000 dolárov Bitcoin výkupné za dešifrovací kľúč pre dáta pacientov. Lokky infikovaných nemocníc prostredníctvom e-mailovej prílohy zakrytej ako faktúra Microsoft Word.

Od februára zaviedla spoločnosť Locky svoje rozšírenia v snahe oklamať obete, že boli infikovaní iným Ransomware. Locky začal pôvodne premenovať šifrované súbory na .locky a v čase príchodu leta sa vyvinul do .zepto rozšírenie, ktoré sa odvtedy používa vo viacerých kampaniach.

Naposledy počuť, Locky teraz šifruje súbory .ODIN rozšírenie, pokúšať sa zamieňať používateľov s tým, že v skutočnosti je Odin ransomware.

Locky Ransomware

Záložný softvér Locky sa šíri najmä spamovými e-mailovými kampaňami, ktoré vedú útočníci. Tieto spamové e-maily majú väčšinou Súbory.doc ako prílohy ktoré obsahujú kódovaný text, ktoré sa zobrazujú ako makrá.

Typický e-mail, ktorý sa používa v distribúcii Locky ransomware, môže byť faktúra, ktorá upúta pozornosť väčšiny používateľov. Napríklad,

Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”

And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”

Image
Image

Keď používateľ povolí nastavenia makra v programe Word, spustiteľný súbor, ktorý je vlastne ransomware, sa stiahne do počítača. Potom sú rôzne súbory na PC obete zašifrované pomocou ransomwaru, ktorý im dáva jedinečné 16-znakové kombinácie názvov .shit, .thor, .locky, .zepto alebo .odin prípony súborov. Všetky súbory sú šifrované pomocou RSA-2048 a AES-1024 algoritmy a vyžadujú súkromný kľúč uložený na vzdialených serveroch riadených počítačovými zločincami na dešifrovanie.

Akonáhle sú súbory zašifrované, Locky generuje ďalšie .TXT a _HELP_instructions.html v každom priečinku obsahujúcom šifrované súbory. Tento textový súbor obsahuje správu (ako je uvedené nižšie), ktorá informuje používateľov o šifrovaní.

Ďalej sa uvádza, že súbory môžu byť dešifrované iba pomocou dešifrovania, ktoré vyvinuli kybernetickí zločinci a stoja.5 BitCoin. Preto, ak chcete dostať späť súbory, obeť je požiadaná, aby nainštalovala Tor prehliadač a sledovala odkaz v textových súboroch / tapetách. Webová stránka obsahuje pokyny na vykonanie platby.
Ďalej sa uvádza, že súbory môžu byť dešifrované iba pomocou dešifrovania, ktoré vyvinuli kybernetickí zločinci a stoja.5 BitCoin. Preto, ak chcete dostať späť súbory, obeť je požiadaná, aby nainštalovala Tor prehliadač a sledovala odkaz v textových súboroch / tapetách. Webová stránka obsahuje pokyny na vykonanie platby.
Neexistuje žiadna záruka, že aj po vykonaní platby obete budú dešifrované. Ale zvyčajne na ochranu svojej "reputácie" autorov ransomware zvyčajne drží svoju časť dohody.
Neexistuje žiadna záruka, že aj po vykonaní platby obete budú dešifrované. Ale zvyčajne na ochranu svojej "reputácie" autorov ransomware zvyčajne drží svoju časť dohody.

Program Locky Ransomware sa mení z.wsf na rozšírenie.LNK

Zverejňovať jej vývoj v tomto roku vo februári. Lokálne infekcie ransomware postupne klesali s menšou detekciou Nemucod, ktorú spoločnosť Locky používa na infikovanie počítačov. (Nemucod je súbor.wsf obsiahnutý v prílohách.zip v nevyžiadanej pošte). Ako však uvádza spoločnosť Microsoft, autori spoločnosti Locky zmenili prílohu súbory.wsf na skrátené súbory (Rozšírenie.LNK), ktoré obsahujú príkazy PowerShell na prevzatie a spustenie lokky.

Príklad nižšie uvedeného nevyžiadaného e-mailu ukazuje, že je vytvorený tak, aby pritiahol okamžitú pozornosť používateľov. Posiela sa s vysokou dôležitosťou a náhodnými znakmi v riadku predmetu. Telo e-mailu je prázdne.

Image
Image

Spamový e-mail sa zvyčajne označuje ako Bill prichádza s príponou.zip, ktorá obsahuje súbory.LNK. Pri otvorení prílohy.zip používatelia spúšťajú reťazec infekcií. Táto hrozba sa zistí ako TrojanDownloader: PowerShell / Ploprolo.A, Keď skript PowerShell úspešne beží, stiahne a spustí Locky v dočasnom priečinku, ktorý dokončí reťazec infekcií.

Typy súborov zacielené na Locky Ransomware

Nižšie sú uvedené typy súborov, na ktoré sa zameriava softvér Locky ransomware.

.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Ako zabrániť útoku Locky Ransomware

Locky je nebezpečný vírus, ktorý vážne ohrozuje váš počítač. Odporúča sa, aby ste dodržiavali tieto pokyny, aby ste predišli vyliečeniu a vyhnúť sa infikovaniu.

  1. Vždy majte anti-malware softvér a anti-ransomware softvér chrániť váš počítač a pravidelne aktualizovať.
  2. Aktualizujte operačný systém Windows a zvyšok softvéru aktuálne, aby ste znížili možné zneužitie softvéru.
  3. Zálohujte dôležité súbory pravidelne. Je to dobrá voľba, ak chcete, aby boli uložené v režime offline, ako v ukladacom systéme cloud, pretože sa tam môže dostať aj vírus
  4. Zakážte načítanie makier v programoch balíka Office. Otvorenie infikovaného súboru dokumentu programu Word môže byť riskantné!
  5. Do sekcií "Spam" alebo "Nevyžiadaná pošta" neotvárajte slepo. To by vás mohlo podviesť do otvorenia e-mailu obsahujúceho škodlivý softvér. Zamyslite sa predtým, ako kliknete na webové odkazy na webových stránkach alebo e-maily alebo sťahujete e-mailové prílohy od odosielateľov, ktoré neviete. Tieto prílohy nekliknite ani neotvárajte:
    1. Súbory s príponou.LNK
    2. Súbory s príponou.wsf
    3. Súbory s rozšírením s dvojitým bodom (napríklad profil-p29d..wsf).

prečítať: Čo robiť po útoku Ransomware na vašom počítači so systémom Windows?

Ako dešifrovať Locky Ransomware

V súčasnosti nie sú pre Locky ransomware k dispozícii žiadne dešifrotory. Dešifrotor od spoločnosti Emsisoft však môže byť použitý na dešifrovanie súborov zašifrovaných autoLock, iný ransomware, ktorý tiež premenuje súbory na príponu.locky. AutoLocky používa skriptovací jazyk AutoI a pokúša sa napodobniť zložitý a prepracovaný softvér Locky ransomware. Môžete tu vidieť kompletný zoznam dostupných nástrojov dekodéru ransomware.

Zdroje a úvery: Microsoft | BleepingComputer | PCRisk.

Odporúča: