Locky Ransomware er dødelig! Her er alt du bør vite om dette viruset.
pane er navnet på en Ransomware som har utviklet seg sent, takket være den konstante algoritmoppgraderingen av sine forfattere. Locky, som foreslått av navnet, omdøper alle viktige filer på den infiserte PCen, og gir dem en utvidelse .pane og krever løsepenge for dekrypteringsnøklene.
Locky ransomware - Evolution
Ransomware har vokst med en alarmerende hastighet i 2016. Den bruker e-post og sosialteknologi for å komme inn i datasystemene dine. De fleste e-postmeldinger med skadelige dokumenter vedlagt inneholdt den populære ransomware-stammen Locky. Blant milliarder av meldinger som brukte skadelige dokumentvedlegg, omfattet 97% Locky ransomware, det er en alarmerende 64% økning fra første kvartal 2016 da den først ble oppdaget.
De Locky ransomware ble først oppdaget i februar 2016 og ble rapportert sendt til en halv million brukere. Locky kom inn i rampelyset da i februar i år betalte Hollywood Presbyterian Medical Center et $ 17,000 Bitcoin løsepris for dekrypteringsnøkkelen for pasientdata. Locky infiserte sykehusdata gjennom et e-postvedlegg som er skjult som en Microsoft Word-faktura.
Siden februar har Locky kjørt sine utvidelser for å bedra de ofre at de har blitt smittet av en annen Ransomware. Locky startet opprinnelig omdøpe de krypterte filene til .pane og da sommeren ankom, utviklet den seg til .Zepto utvidelse, som har blitt brukt i flere kampanjer siden.
Sist hørt, Locky er nå krypterende filer med .ODIN utvidelse, prøver å forvirre brukere om at det faktisk er Odin ransomware.
Locky Ransomware
Locky ransomware sprer seg hovedsakelig via spam e-postkampanjer som drives av angriperne. Disse spam-e-postene har for det meste .doc-filer som vedlegg som inneholder kryptert tekst som ser ut til å være makroer.
En typisk e-post som brukes i Locky ransomware distribusjon kan være av en faktura som fanger mest brukerens oppmerksomhet, for eksempel,
E-postfag kan være - "ATTN: Faktura P-12345678", infisert vedlegg - "invoice_P-12345678.doc"(Inneholder makroer som laster ned og installerer Locky ransomware på datamaskiner):"
Og e-postliste - "Kjære noen, Vennligst se vedlagte faktura (Microsoft Word Document) og betalingsavgift i henhold til vilkårene som er oppført nederst på fakturaen. Gi oss beskjed hvis du har spørsmål. Vi setter stor pris på din virksomhet! "
Når brukeren aktiverer makroinnstillinger i Word-programmet, blir en kjørbar fil som faktisk er ransomware lastet ned på PCen. Deretter krypteres ulike filer på offerets PC ved hjelp av ransomware som gir dem unike 16 bokstavs-sifferkombinasjonsnavn med .dritt, .Thor, .pane, .Zepto eller .odin filutvidelser. Alle filer er kryptert ved hjelp av RSA-2048 og AES-1024 algoritmer og krever en privat nøkkel lagret på de eksterne serverne kontrollert av cyberkriminelle for dekryptering.
Når filene er kryptert, genererer Locky en ekstra .tekst og _HELP_instructions.html fil i hver mappe som inneholder de krypterte filene. Denne tekstfilen inneholder en melding (som vist nedenfor) som informerer brukere om kryptering.
Det fremgår videre at filer kun kan dekrypteres ved hjelp av en dekrypter utviklet av cyberkriminelle og koster .5 BitCoin. Derfor, for å få filene tilbake, blir offeret bedt om å installere Tor-nettleseren og følge en lenke som er gitt i tekstfiler / tapet. Nettstedet inneholder instruksjoner for å foreta betalingen.
Det er ingen garanti for at selv etter at du har gjort betalingsofferet, blir filene dekryptert. Men vanligvis for å beskytte sin "omdømme" holder ransomware forfattere vanligvis til sin del av handelen.
Locky Ransomware skifter fra .wsf til .LNK utvidelse
Legg evolusjonen sin i februar i februar; Locky ransomware infeksjoner har gradvis redusert med mindre detekteringer av Nemucod, som Locky bruker til å infisere datamaskiner. (Nemucod er en .wsf-fil som finnes i .zip-vedlegg i spam-e-post). Som Microsoft har rapportert, har Locky forfattere endret vedlegget fra .wsf filer til snarvei filer (.LNK-utvidelse) som inneholder PowerShell-kommandoer for å laste ned og kjøre Locky.
Et eksempel på e-postadressen nedenfor viser at den er laget for å få umiddelbar oppmerksomhet fra brukerne. Den sendes med stor betydning og med tilfeldige tegn i emnelinjen. E-postens kropp er tom.
Spam-e-posten vanligvis navnene som Bill kommer med et .zip vedlegg, som inneholder .LNK-filene. Ved å åpne .zip vedlegget, utløser brukerne infeksjonskjeden. Denne trusselen er oppdaget som Trojandownloader.Small.ZL: Powershell / Ploprolo.A. Når PowerShell-skriptet kjøres, laster det ned og kjører Locky i en midlertidig mappe som fullfører smittekjeden.
Filtyper målrettet av Locky Ransomware
Nedenfor er filtyper målrettet av Locky ransomware.
.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .xx, .srw, .srf, .sqlitedb, .sqlite3, .qlite, .sdf, .da, .s3db, .rwz, .wwl, .rdb, .rat, .raf, .qb, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf , .nxl, .nwb, .nrw, .nop, NEF, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx,. kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6 , .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .Tilbake, .awg, .apj, .ait, .agdl, .ads,. adb, .acr, .ach, .accd, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff , .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf,. nsd, .m os, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, XLA, .wps, TGA, .pspimage, .pct, .pcd, .fxg, .flac, eps, .dxb, .drw, .dot, .cpi, .cls, Cdr , .arw, .aac, .thm, .srt, .ave, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html,. FLF, DFX, Dwg, .dds, CSV, Css, .konfig, CFG, .cer, .asx, .aspx, .aoi, ACCDB, .7zip, XLS .wab RTF .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg , .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod,. lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes .ARC, .PAQ, .tar.bz2, .tbk, .bak,. tjære, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf , .mdf, .ibd, .MYI, .MYD, .frm, .od b, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Sikkerhetskopi), .sldm, .sldx, .ppsm, .ppsx , .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .xx, .pot, .pps, .sti,. xx, xx, xx, xx, xx, xx, xx, .ots, ODS, .hwp, .dotm, .dotx, DOCM, .docx-, .dot, .maks, XML, txt, CSV, .uot, .RTF, PDF, XLS, PPT , .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.
Slik forhindrer du Locky Ransomware-angrep
Locky er et farlig virus som har en alvorlig trussel mot PCen din. Det anbefales at du følger disse instruksjonene for å forhindre ransomware og unngå å bli smittet.
- Har alltid en anti-malware-programvare og en anti-ransomware-programvare som beskytter PCen din og oppdaterer den regelmessig.
- Oppdater Windows OS og resten av programvaren oppdatert for å redusere mulige programvareutnyttelser.
- Sikkerhetskopiere viktige filer jevnlig. Det er et godt alternativ for å få dem lagret offline enn på en skylagring, siden viruset kan nå det også
- Deaktiver lastingen av makroer i Office-programmer. Å åpne en infisert Word-dokumentfil kan vise seg å være risikabelt!
- Ikke åpne blindt e-post i e-postdelene 'Spam' eller 'Junk'. Dette kan føre deg til å åpne en e-post som inneholder malware. Tenk før du klikker på nettsider på nettsteder eller e-post eller laster ned e-postvedlegg fra sendere som du ikke vet. Ikke klikk eller åpne slike vedlegg:
- Filer med .LNK-utvidelse
- Filer with.wsf utvidelse
- Filer med dobbeltpunktsutvidelse (for eksempel profil-p29d ... wsf).
Lese: Hva å gjøre etter et Ransomware-angrep på Windows-datamaskinen?
Slik dekrypterer du Locky Ransomware
Fra nå er det ingen dekryptere tilgjengelig for Locky ransomware. Imidlertid kan en Decryptor fra Emsisoft brukes til å dekryptere filer kryptert av AutoLocky, en annen ransomware som også omdøper filer til .locky-utvidelsen. AutoLocky bruker skriptspråk AutoI og prøver å etterligne det komplekse og sofistikerte Locky ransomware. Du kan se den komplette listen over tilgjengelige ransomware-dekrypteringsverktøy her.
Kilder og kreditter: Microsoft | BleepingComputer | PCRisk.