Locky ir nosaukums Ransomware, kas attīstījās vēlu, pateicoties autoru pastāvīgam algoritmu uzlabojumam. Locky, kā to piedāvā tās nosaukums, pārdēvē visus svarīgos failus inficētajā datorā, dodot tiem paplašinājumu .bloķēts un pieprasa atpirkt atšifrēšanas atslēgas.
Locky ransomware - evolūcija
Ransomware ir pieaudzis satraucošā ātrumā 2016. gadā. Tā izmanto e-pastu un sociālo inženieriju, lai ievadītu jūsu datorsistēmas. Lielākā daļa e-pasta ziņojumu ar pievienotajiem ļaunajiem dokumentiem bija populārā ransomware celma Locky. Starp miljardiem ziņu, kas izmantoja ļaunprātīgu dokumentu pielikumus, apmēram 97% piedāvāja Locky ransomware, kas rada satraucošu 64% pieaugumu no 2016. gada 1. ceturkšņa, kad tas pirmo reizi tika atklāts.
The Locky ransomware pirmo reizi tika atklāts 2016. gada februārī un tika ziņots pusmiljonam lietotāju. Locky atnāca uzmanības centrā, kad šī gada februārī Holivudas presbiterijas medicīnas centrs izmaksāja $ 17,000 Bitcoin izpirkuma maksu par pacienta datu atšifrēšanas atslēgu. Bloķēti inficēti slimnīcas dati, izmantojot e-pasta pielikumu, kas tiek slēpts kā Microsoft Word rēķins.
Kopš februāra Locky ir saistījis savus paplašinājumus, lai maldinātu upurus, ka viņi ir inficēti ar citu Ransomware. Locky sākotnēji sākotnēji pārdēvēja šifrētos failus uz .bloķēts un, kad ieradās vasara, tā pārtapa .zepto pagarinājums, kas kopš vairākiem gadiem tika izmantots vairākās kampaņās.
Pēdējo reizi dzirdēts, Locky tagad šifrē failus ar .ODIN paplašināšana, cenšoties sajaukt lietotājus, ka tas ir faktiski Odin ransomware.
Locky Ransomware
Locky ransomware galvenokārt izplatās, izmantojot uzbrucēju vadītas surogātpasta e-pasta kampaņas. Šie surogātpasta e-pasta ziņojumi ir galvenokārt .doc faili kā pielikumi kas satur kodētu tekstu, kas tiek parādīts kā makro.
Parasti e-pastā, ko izmanto Locky ransomware izplatīšanai, var būt rēķins, kas visvairāk piesaista lietotāju uzmanību. Piemēram,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Kad lietotājs programmā Word iespējo makro iestatījumus, datorā tiek lejupielādēts izpildāms fails, kas patiešām ir ransomware. Pēc tam ransomārā tiek šifrēti dažādi upura datora faili, kas tiem piešķir unikālu 16 burtu un ciparu kombinācija ar .shit, .thor, .bloķēts, .zepto vai .odin failu paplašinājumi. Visi faili tiek šifrēti, izmantojot RSA-2048 un AES-1024 algoritmiem un pieprasīt privātu atslēgu, kas tiek glabāta attālos serveros, ko kontrolē kibernoziedznieki, lai tos atšifrētu.
Kad faili tiek šifrēti, Locky ģenerē papildu .txt un _HELP_instructions.html failu katrā mapē, kurā ir šifrēti faili. Šis teksta fails satur ziņojumu (kā parādīts tālāk), kas informē šifrēšanas lietotājus.
Locky Ransomware mainās no.wsf uz.LNK paplašinājumu
Publicēt savu attīstību šā gada februārī; Aizliegtas ransomēra infekcijas pakāpeniski samazinājās, mazākā mērā konstatējot Nemucod, kuru Locky izmanto, lai inficētu datorus. (Nemucod ir.wsf fails, kas ietverts.zip pielikumos surogātpasta e-pastā). Tomēr, kā ziņo Microsoft, Locky autori ir mainījuši pielikumu no .wsf faili uz saīsnes faili (.LNK paplašinājums), kas satur PowerShell komandas, lai lejupielādētu un palaistu Locky.
Tālāk norādītais surogātpasta piemērs liecina, ka tas ir paredzēts, lai piesaistītu tūlītēju lietotāju uzmanību. Tas tiek nosūtīts ar lielu nozīmi un ar izlases rakstzīmēm tēmas rindā. E-pasta adrese ir tukša.
Surogātpasta e-pasts parasti tiek nosaukts, kad rēķins tiek saņemts ar.zip pielikumu, kas satur.LNK failus. Atverot.zip pielikumu, lietotāji aktivizē infekcijas ķēdi. Šie draudi tiek noteikti kā TrojanDownloader: PowerShell / Ploprolo.A. Kad PowerShell skripts veiksmīgi darbojas, tas lejupielādē un izpilda Locky pagaidu mapē, kas aizpilda infekcijas ķēdi.
Failu veidi, kurus atlasījis Locky Ransomware
Tālāk ir norādīti failu tipi, kurus atlasījis Locky ransomware.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Kā novērst Locky Ransomware uzbrukumu
Locky ir bīstams vīruss, kas nopietni apdraud jūsu datoru. Ieteicams ievērot šos norādījumus, lai novērstu ransomārā un izvairītos no inficēšanās.
- Vienmēr ir pretvīrusu programmatūra un anti-ransomware programmatūra, kas aizsargā datoru un regulāri atjauno to.
- Atjauniniet operētājsistēmas Windows operētājsistēmu un pārējo programmatūras atjauninājumu, lai mazinātu iespējamo programmatūras izmantošanu.
- Regulāri dublējiet svarīgos failus. Tā ir laba izvēle, lai tās saglabātu bezsaistē, nevis mākoņa krātuvē, jo arī vīruss var nokļūt tur
- Atspējojiet Makro iekraušanu Office programmās. Inficētā Word dokumenta faila atvēršana var izrādīties riskanta!
- Nelietojiet aklu atvērt pastu sadaļā "Mēstules" vai "Junk" e-pastā. Tas varētu ļaunprātīgi atklāt e-pastu ar ļaunprogrammatūru. Padomā, pirms noklikšķināt uz tīmekļa saišu vietnēm vai e-pasta ziņām vai lejupielādēt e-pasta pielikumus no sūtītājiem, kurus nezināt. Noklikšķiniet un neatveriet šādus pielikumus:
- Faili ar.LNK paplašinājumu
- Files with.wsf paplašinājums
- Faili ar divpunktu paplašinājumu (piemēram, profils-p29d..wsf).
Lasīt: Ko darīt pēc tam, kad Ransomware uzbrukums jūsu Windows datoram?
Kā atšifrēt Locky Ransomware
Pašlaik Locky ransomware nav pieejami atšifrētāji. Tomēr no Emsisoft Decryptor var izmantot, lai atšifrētu failus šifrētu ar Automātiskais, vēl viens ransomware, kas arī pārdēvē failus uz.locky paplašinājumu. AutoLocky izmanto skriptu valodu AutoI un mēģina atdarināt sarežģītu un izsmalcinātu Locky ransomware. Šeit varat redzēt pilnu pieejamo ransomware atšifrēšanas rīku sarakstu.
Avoti un kredīti: Microsoft | BlepingComputer | PCRisk.
