A Locky Ransomware halálos! Itt van minden, amit tudnia kell erről a vírusról.

Locky a Ransomware neve, amely későn fejlődött ki, köszönhetően a szerzők állandó algoritmus-frissítésének. A Locky a nevének megfelelően átnevezi a fertőzött számítógép összes fontos fájlját, kiterjesztve őket .zárható és váltságdíjat követel a visszafejtő kulcsokért.

Locky ransomware - Evolution

A Ransomware riasztó mértékben nőtt 2016-ban. E-mail és Social Engineering segítségével írja be számítógépes rendszereit. A legtöbb rosszindulatú dokumentumot tartalmazó e-mail a Locky népszerű ransomware törzset tartalmazta. A rosszindulatú dokumentummellékleteket használó milliárd üzenetek közül mintegy 97% tartalmazta a Locky ransomware programot, ami riasztóan 64% -os növekedést jelent 2016 első negyedévéhez képest, amikor először felfedezték.

A Locky ransomware először 2016 februárjában fedezték fel, és állítólag félmillió felhasználónak küldték el. Locky reflektorfénybe került, amikor ez év februárjában a Hollywood Presbyterian Medical Center 17 000 dolláros Bitcoin váltságdíjat fizetett a betegadatok visszafejtési kulcsáért. Locky megfertőzte a kórház adatait egy e-mail mellékletben, amelyet Microsoft Word számlának álcáznak.

Február óta a Locky láncolja a kiterjesztéseket, hogy megtévessze az áldozatokat, hogy egy másik Ransomware fertőzte meg őket. Locky eredetileg átnevezte a titkosított fájlokat .zárható és mire megérkezett a nyár, azzá fejlődött .zepto kiterjesztés, amelyet azóta több kampányban használnak.

Legutóbb hallott, Locky mostantól titkosítja a fájlokat .ODIN kiterjesztéssel próbálta megzavarni a felhasználókat, hogy valójában az Odin ransomware.

Locky Ransomware

A Locky ransomware elsősorban a támadók által szervezett spam e-mail kampányokon keresztül terjed. Ezek a spam e-mailek többnyire .doc fájlokat mellékletként amelyek makróként megjelenő kódolt szöveget tartalmaznak.

A Locky ransomware terjesztésben használt tipikus e-mail lehet egy olyan számla, amely felkelti például a legtöbb felhasználó figyelmét,

Az e-mail tárgya lehet - „ATTN: P-12345678 számla”, fertőzött kötődés - “számla_P-12345678.doc”(Olyan makrókat tartalmaz, amelyek letöltik és telepítik a Locky ransomware programot a számítógépekre):”

E-mail törzs - „Kedves valaki! Kérjük, olvassa el a mellékelt számlát (Microsoft Word dokumentum), és utalja át a fizetést a számla alján felsorolt ​​feltételek szerint. Ha bármilyen kérdése van, ossza meg velünk. Nagyra értékeljük vállalkozását!”

Miután a felhasználó engedélyezte a makróbeállításokat a Word programban, egy futtatható fájl, amely valójában a ransomware, letölthető a számítógépre. Ezt követően az áldozat számítógépén lévő különböző fájlokat a ransomware titkosítja, egyedi 16 betű és számjegyű kombinációs neveket adva nekik .szar, .thor, .zárható, .zepto vagy .odin fájlkiterjesztések. Az összes fájl titkosítása a RSA-2048 és AES-1024 algoritmusokat, és a számítógépes bűnözők által irányított távoli szervereken tárolt magánkulcsot igényelnek a visszafejtéshez.

Miután a fájlok titkosítva vannak, a Locky újabbat generál .txt és _HELP_instrukciók.html fájl minden titkosított fájlt tartalmazó mappában. Ez a szöveges fájl egy üzenetet tartalmaz (az alábbiak szerint), amely tájékoztatja a felhasználókat a titkosításról.

Továbbá kijelenti, hogy a fájlokat csak az internetes bűnözők által kifejlesztett és az .5 BitCoin. Ezért a fájlok visszaszerzéséhez az áldozatot felkérik, hogy telepítse a Tor böngészőt, és kövesse a szöveges fájlokban / háttérképben található linket. A weboldal utasításokat tartalmaz a befizetéshez.

Nincs garancia arra, hogy a fizetés elvégzése után is visszafejtik az áldozat fájljait. De általában a "hírnevének" védelme érdekében a ransomware-szerzők általában ragaszkodnak az alkukhoz.

Locky Ransomware változik .wsf to .LNK kiterjesztés

Tegye közzé az idei fejlõdést februárban; A locky ransomware fertőzések fokozatosan csökkentek a Nemucod, amelyet Locky használ a számítógépek megfertőzésére. (Nemucod egy .wsf fájl található .mellékletek tömörítése spam e-mailben). A Microsoft jelentése szerint azonban Locky szerzői megváltoztatták a mellékletet .wsf fájlok nak nek parancsikonok (.LNK kiterjesztés), amelyek PowerShell-parancsokat tartalmaznak a Locky letöltésére és futtatására.

Az alábbi spam e-mail példája azt mutatja, hogy az azonnali felhasználói figyelem felkeltésére készült. Nagy fontossággal és véletlenszerű karakterekkel kerül elküldésre a tárgysorban. Az e-mail törzse üres.

A spam e-mail általában akkor nevezik meg, amikor Bill a-val érkezik .zip melléklet, amely tartalmazza a .LNK fájlok. A .zip melléklet, a felhasználók kiváltják a fertőzési láncot. Ezt a fenyegetést a következőként észlelik: TrojanDownloader: PowerShell / Ploprolo.A. Amikor a PowerShell parancsfájl sikeresen fut, letölti és végrehajtja a Locky programot egy ideiglenes mappában, befejezve a fertőzési láncot.

A Locky Ransomware által megcélzott fájltípusok

Az alábbiakban a Locky ransomware által megcélzott fájltípusok találhatók.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .patkány, .tutaj, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .pénzkút, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .szürke, .szürke, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .begy, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .öböl, .bank, .backupdb, .biztonsági mentés, .vissza, .awg, .apj, .sziget, .agdl, .hirdetések, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .napló, .hpp, .hdd, .csoportok, .flvv, .edb, .dit, .dat, .cmt, .kuka, .aiff, .xlk, .fojtás, .tlg, .mond, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .olaj, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .tervezés, .ddd, .dcr, .dac, .cdx, .cdf, .keverék, .bkp, .adp, .törvény, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .pont, .fogyasztói árindex, .cls, .cdr, .arw, .aac, .thm, .srt, .mentés, .biztonságos, .pwm, .oldalakat, .obj, .mlb, .mbx, .megvilágított, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .konfig, .vö, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .üzenet, .mapimail, .jnt, .doc, .dbx, .kapcsolatba lépni, .középső, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .pénztárca, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .kohó, .das, .d3dbsp, .bsa, .bik, .eszköz, .apk, .gpg, .aes, .ÍV, .PAQ, .kátrány.bz2, .tbk, .bak, .kátrány, .tgz, .rar, .postai irányítószám, .djv, .djvu, .svg, .bmp, .png, .gif, .nyers, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .denevér, .osztály, .befőttes üveg, .Jáva, .áspiskígyó, .brd, .sch, .dch, .BEMÁRT, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .furcsa, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .PST, .onetoc2, .asc, .laikus6, .világi, .ms11 (biztonsági másolat), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .furcsa, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .fazék, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .PONT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .páratlan, .DOC, .pem, .csr, .katódsugárcső, .ke.

Hogyan lehet megakadályozni a Locky Ransomware támadást

A Locky egy veszélyes vírus, amely komoly fenyegetést jelent a számítógépére. Javasoljuk, hogy kövesse ezeket az utasításokat a ransomware megelőzése és a fertőzés elkerülése érdekében.

1. Mindig rendelkezzen rosszindulatú programokkal és ransomware programokkal, amelyek védik a számítógépet, és rendszeresen frissítsék azokat.
2. Frissítse a Windows operációs rendszert és a többi szoftvert naprakészen a lehetséges szoftverkihasználások csökkentése érdekében.
3. Rendszeresen készítsen biztonsági másolatot a fontos fájlokról. Jó lehetőség offline módban menteni őket, mint felhőalapú tárhelyre, mivel a vírus oda is eljuthat
4. Tiltsa le a makrók betöltését az Office programokban. A fertőzött Word dokumentumfájl megnyitása kockázatos lehet!
5. Ne nyissa ki vakon a leveleket a „Spam” vagy a „Junk” e-mail szakaszokban. Ez becsaphat egy rosszindulatú programot tartalmazó e-mail megnyitásában. Gondolkodjon, mielőtt rákattintana a weboldalakon található linkekre vagy e-mailekre, vagy letöltene olyan e-mail mellékleteket a feladótól, akiket nem ismer. Ne kattintson vagy nyissa meg az ilyen mellékleteket:

1. Fájlokat a .LNK kiterjesztés
2. Fájlokat a.wsf kiterjesztés
3. Dupla pont kiterjesztésű fájlok (például: profile-p29d… wsf).

Olvas: Mi a teendő a Windows számítógépén lévő Ransomware támadás után??

Hogyan lehet visszafejteni a Locky Ransomware programot

Mostanáig nem állnak rendelkezésre dekódolók a Locky ransomware számára. Az Emsisoft dekódolója azonban felhasználható az. Által titkosított fájlok visszafejtésére AutoLocky, egy másik ransomware, amely szintén átnevezi a fájlokat .zárható meghosszabbítás. Az AutoLocky az AutoI szkriptnyelvet használja, és megpróbálja utánozni a bonyolult és kifinomult Locky ransomware programot. Az elérhető ransomware dekódoló eszközök teljes listáját itt tekintheti meg.

Források és hitelek: Microsoft | AlvóSzámítógép | PCRisk.