Locky yra "Ransomware" pavadinimas, kuris anksčiau vystėsi, nes jo autoriai nuolat atnaujino algoritmą. "Locky", kaip siūloma jo pavadinimu, pervadina visus svarbius failus užkrėstame kompiuteryje, suteikdama jiems plėtinį atrakinta ir reikalauja išpirkti dekodavimo raktus.
Locky ransomware - evoliucija
"Ransomware" išaugo nerimą keliančiu greičiu 2016 m. Ji naudoja "Email & Social Engineering", norėdami įvesti savo kompiuterines sistemas. Daugelis el. Laiškų, kuriuose yra pridedamų kenkėjiškų dokumentų, buvo populiari ransomware "Locky" kamera. Tarp milijardų pranešimų, kurie naudojo kenkėjiškus dokumentų priedus, apie 97% buvo "Locky ransomware", tai yra nerimą keliantis 64% padidėjimas nuo 2016 m. Pirmojo ketvirčio, kai jis pirmą kartą buvo atrastas.
The Locky ransomware pirmą kartą buvo aptikta 2016 m. vasario mėn., ir buvo pranešta apie pusę milijono naudotojų. Locky atėjo į akį, kai šių metų vasarį Holivudo Presbyterijos medicinos centras sumokėjo $ 17,000 Bitcoin išpirką už paciento duomenų atsifravimo raktą. Locky užkrėstų ligoninės duomenys naudojant elektroninio pašto priedą, paslėptą kaip "Microsoft Word" sąskaitos faktūra.
Nuo vasario Locky buvo susieti savo plėtinius, norėdami apgauti aukas, kad jie buvo užkrėsti kitokiu "Ransomware". Locky pradėjo iš pradžių pervadinti šifruotus failus į atrakinta ir atėjus vasarai ji pasikeitė į .zepto išplėtimas, kuris buvo naudojamas keliose kampanijose.
Paskutinį kartą girdėjote, "Locky" dabar šifruoja failus su .ODIN pratęsimas, bando supainioti naudotojus, kad tai iš tikrųjų "Odin ransomware".
Locky Ransomware
Locky ransomware dažniausiai plinta taikant šlamšto el. Pašto kampanijas, kurias vykdo užpuolikai. Šie šlamšto laiškai yra daugiausia .doc failai kaip priedai kuriose yra įstrigo teksto, kuris yra makrokomandas.
Tipiškas el. Laiškas, naudojamas "Locky ransomware" paskirstyme, gali būti sąskaitos faktūra, kurioje daugiausia dėmesio skiriama naudotojui. Pavyzdžiui,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Kai vartotojas įgalina makro nustatymus programoje "Word", kompiuteryje atsisiunčiamas vykdomąjį failą, kuris iš tikrųjų yra "ransomware". Vėliau įvairūs nukentėjusiojo kompiuterio failai yra užkoduoti ransomaterialu, suteikiant jiems unikalius 16 raidžių skaitmenų kombinacijų pavadinimus su .shit, .thor, atrakinta, .zepto arba .odin failų plėtiniai. Visi failai yra užkoduoti naudojant RSA-2048 ir AES-1024 algoritmai ir reikalauti privačiojo rakto, kuris saugomas nuotoliniame serveriuose, kuriuos kontroliuoja elektroniniai nusikaltėliai, siekiant iššifruoti.
Kai failai yra užkoduoti, "Locky" generuoja papildomą .txt ir _HELP_instructions.html failą kiekviename aplanke, kuriame yra šifruojami failai. Šis teksto failas yra pranešimas (kaip parodyta žemiau), kuris informuoja šifravimo vartotojus.
Locky Ransomware keičiasi iš.wsf į.LNK plėtinį
Paskelbkite savo evoliuciją šiais metais vasarį; Apsaugos nuo raumenų infekcijos palaipsniui mažėja, kai mažesni aptikimo atvejai Nemucod, kurį "Locky" naudoja užkrėsti kompiuterius. ("Nemucod" yra.wsf failas, kuris yra šlamšto prieduose. Tačiau, kaip praneša "Microsoft", Locky autoriai pakeitė priedą iš .wsf failai į spartusis failai (.LNK plėtinys), kuriame yra "PowerShell" komandos, skirtos atsisiųsti ir paleisti "Locky".
Šlamšto el. Laiško pavyzdys rodo, kad jis yra skirtas pritraukti neatidėliotiną dėmesį iš vartotojų. Jis siunčiamas su dideliu svarbumu ir su atsitiktiniais simboliais temos eilutėje. El. Laiško korpusas tuščias.
Šlamšto el. Paštas paprastai įvardijamas, nes Bill atvyksta su.zip priedu, kuriame yra.LNK failai. Atidarius.zip priedą, vartotojai suaktyvina infekcijos grandinę. Ši grėsmė aptinka kaip TrojanDownloader: PowerShell / Ploprolo.A. Kai "PowerShell" scenarijus sėkmingai paleidžiamas, jis parsisiunčia ir vykdo "Locky" laikiname aplanke, užbaigiančiame infekcijos grandinę.
"Locky Ransomware" taikomų failų tipai
Toliau pateikiami failų tipai, kuriuos taiko "Locky ransomware".
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Kaip užkirsti kelią Locky Ransomware atakoms
Locky yra pavojingas virusas, kuris turi rimtą grėsmę jūsų asmeniniam kompiuteriui. Rekomenduojama laikytis šių nurodymų, siekiant užkirsti kelią ransomarei ir išvengti užkrėtimo.
- Visada turite anti-malware programinę įrangą ir anti-ransomware programinę įrangą, kuri apsaugo jūsų kompiuterį ir reguliariai ją atnaujina.
- Atnaujinkite savo "Windows" OS ir likusią savo programinę įrangą, kad būtų galima sušvelninti galimus programinės įrangos naudojimo būdus.
- Reguliariai kopijuokite svarbius failus. Tai yra geras pasirinkimas išsaugoti juos neprisijungus, o ne debesies saugykloje, nes virusas taip pat gali pasiekti
- Išjungti "Macros" pakrovimą "Office" programose. Užkrėsto "Word" dokumento failo atidarymas gali būti pavojingas!
- Ne akliškai atidarykite el. Laiškus skyriuose "Šlamštas" ar "Neteisingas". Tai gali apgauti jus atidaryti el. Laišką, kuriame yra kenkėjiška programa. Pagalvokite prieš spustelėję žiniatinklio nuorodas svetainėse ar el. Laiškuose arba atsisiųsdami elektroninius priedus iš nežinomų siuntėjų. Negalima spustelėti arba atidaryti tokius priedus:
- Failai su.LNK plėtiniu
- Files with.wsf extension
- Failai su dvigubo taško plėtiniu (pavyzdžiui, profilis-p29d..wsf).
Skaitykite: Ką daryti po "Ransomware" užpuolimo su "Windows" kompiuteriu?
Kaip iššifruoti "Locky Ransomware"
Nuo šiol "Locky ransomware" nėra dekodavimo įrenginių. Tačiau Emsisoft Decryptor gali būti naudojamas iššifruoti failus užšifruoti AutoLocky, kitas ransomaterialas, kuris taip pat pervardina failus į.locky plėtinį. AutoLocky naudoja scenarijų kalbą AutoI ir bando imituoti sudėtingą ir sudėtingą Locky ransomware. Čia galite pamatyti visą turimų "Ransomware" iššifratorių įrankių sąrašą.
Šaltiniai ir kreditai: Microsoft | BleepingComputer | PCRisk.
