locky on nimennyt Ransomware, joka on kehittynyt myöhässä, kiitos jatkuvan algoritmin päivityksen tekijöilleen. Locky, kuten sen nimessä ehdotetaan, nimeää kaikki tärkeät tiedostot tartunnan saaneesta tietokoneesta antaen niille laajennuksen .locky ja vaatii salakuuntelua salauksen avaimille.
Locky ransomware - Evolution
Ransomware on kasvanut hälyttävästi vuonna 2016. Se käyttää Sähköposti & Sosiaalinen insinöörin syöttää tietokonejärjestelmiisi. Useimmat sähköpostiviestit, joissa oli haitallisia asiakirjoja, sisältyivät suosittuun irrottauslajiin Locky. Miljoonat viestit, jotka käyttivät haitallisia asiakirjojen liitetiedostoja, noin 97% oli Locky ransomware, joka on hälyttävän 64% kasvua Q1 2016, kun se ensin löydettiin.
Locky ransomware havaittiin ensimmäisen kerran helmikuussa 2016 ja se lähetettiin tiedoksi puolitoista käyttäjälle. Locky tuli parrasvaloihin, kun tämän vuoden helmikuussa Hollywood Presbyterian Medical Center maksoi 17 000 dollarin Bitcoin-lunnauksen potilastietojen salauksen avaimelle. Locky tartutti sairaalan tiedot sähköpostiosoitteella, joka oli naamioitu Microsoft Word -laskuun.
Helmikuusta lähtien Locky on ketjuttanut laajennuksiaan pyrkiessään pettämään uhreja siitä, että he ovat saaneet tartunnan eri Ransomware-ohjelmasta. Locky aloitti alun perin salasanatut tiedostot uudelleen .locky ja kun kesä saapui, se kehittyi .zepto laajennus, jota on käytetty useissa kampanjoissa sen jälkeen.
Viimeisin kuulin, Locky salaa nyt tiedostoja .ODIN laajentaminen, yrittäen sekoittaa käyttäjiä, että se on itse asiassa Odinin ransomware.
Locky Ransomware
Locky-ransomware leviää pääasiassa hyökkääjien roskasähköpostikampanjoiden avulla. Nämä roskapostiviestit ovat enimmäkseen .doc-tiedostoja liitteinä jotka sisältävät sekaantunutta tekstiä, jotka näyttävät makroiksi.
Tyypillinen sähköpostiviesti, jota käytetään Locky ransomware -jakaumassa, voi olla lasku, joka saa suurimman osan käyttäjän huomion. Esimerkiksi,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Kun käyttäjä ottaa makroasetukset käyttöön Word-ohjelmassa, tietokoneelle ladataan tällöin suoritettava tiedosto, joka on oikeastaan ransomware. Tämän jälkeen uhrin PC: n eri tiedostot salataan salausohjelmalla, joka antaa heille ainutlaatuisen 16-kirjaimisen yhdistetyn nimen .paska, .thor, .locky, .zepto tai .odin tiedostojen laajennuksia. Kaikki tiedostot salataan käyttäen RSA-2048 ja AES-1024 algoritmeja ja vaativat yksityisen avaimen, joka on tallennettu etäpalvelimiin, joita tietokonevirkamies hallitsee salauksen purkamiseen.
Kun tiedostot on salattu, Locky luo ylimääräisen .txt ja _HELP_instructions.html tiedosto jokaisessa kansioon, joka sisältää salatut tiedostot. Tämä tekstitiedosto sisältää viestin (kuten alla), joka ilmoittaa salauksen käyttäjille.
Locky Ransomware vaihtaa.wsf: stä.LNK-laajennukseen
Julkaise sen kehitys tänä vuonna helmikuussa; Locky ransomware -infektiot ovat vähentyneet vähitellen pienemmillä havaitsemisilla Nemucod, jota Locky käyttää tartuttamaan tietokoneita. (Nemucod on.wsf-tiedosto, joka sisältää.zip-liitteitä roskapostiviesteissä). Kuitenkin, kuten Microsoft raportoi, Locky-kirjoittajat ovat muuttaneet liitetiedostoa .wsf-tiedostoja että pikakuvatiedostot (.LNK-laajennus), joka sisältää PowerShell-komennot ladata ja käyttää Locky.
Esimerkki alla olevasta roskapostitunnuksesta osoittaa, että se on herättänyt välittömän huomion käyttäjiltä. Se lähetetään erittäin tärkeäksi ja satunnaisiksi merkiksi aihealueelle. Sähköpostiosasto on tyhjä.
Roskapostiviesteissä yleensä nimiä Bill saapuu.zip-liitetiedostolla, joka sisältää.LNK-tiedostot. Avaamalla.zip-liitetiedoston käyttäjät aktivoivat tartuntoketjun. Tämä uhka tunnistetaan nimellä TrojanDownloader: PowerShell / Ploprolo.A. Kun PowerShell-skripti onnistuu, se lataa ja suorittaa Lockyn väliaikaiseen kansioon, joka täydentää tarttumisketjua.
Locky Ransomwaren kohdistamat tiedostotyypit
Seuraavassa on Locky ransomware -ohjelman kohteena olevat tiedostotyypit.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Miten estää Locky Ransomwaren hyökkäys
Locky on vaarallinen virus, jolla on vakava uhka tietokoneellesi. On suositeltavaa noudattaa näitä ohjeita estämään irrotusohjelmat ja välttää tartunnan saaminen.
- Käytä aina haittaohjelmien torjuntaohjelmistoa ja anti-ransomware-ohjelmistoa, joka suojaa tietokonetta ja päivittää sitä säännöllisesti.
- Päivitä Windows-käyttöjärjestelmä ja muut ohjelmistot ajan tasalla lieventääkseen mahdollisia ohjelmistotoimia.
- Varmuuskopioi tärkeät tiedostot säännöllisesti. On hyvä vaihtoehto, että ne tallennetaan offline-tilassa kuin pilvitallennuksessa, koska virus voi päästä sinne myös
- Poista makrojen lataaminen Office-ohjelmista. Tartunnan saaneiden Word-dokumenttien avaaminen voi osoittautua vaaralliseksi!
- Älä sokea avaa postia Roskaposti- tai Junk-sähköpostiosioissa. Tämä voi huijata sinua avaamaan haittaohjelmia sisältävän sähköpostiviestin. Ajattele, ennen kuin napsautat verkkosivustojen tai sähköpostiviestien linkkejä tai lataat sähköpostiosoitteita lähettäjiltä, joita et tiedä. Älä napsauta tällaisia liitteitä tai avaa niitä:
- Tiedostot, joissa on.LNK-laajennus
- Tiedostot with.wsf-laajennuksella
- Tiedostot, joiden kaksoispisteen jatke (esimerkiksi profiili-p29d..wsf).
Lukea: Mitä tehdä Ransomware-hyökkäyksen jälkeen Windows-tietokoneellasi?
Miten purkaa Locky Ransomware
Tällä hetkellä Locky ransomware -ohjelmistossa ei ole purkuohjelmia. Emsisoftin Decryptorilla voidaan kuitenkin purkaa salaamasi tiedostot AutoLocky, toinen ransomware, joka myös nimeää tiedostoja.locky-laajennukseen. AutoLocky käyttää scriptia kieltä AutoI ja yrittää jäljitellä monimutkaista ja hienostunutta Locky-ransomware-ohjelmistoa. Löydät täydellisen luettelon käytettävissä olevista ransomware-salauksen purkulaitteista täältä.
Lähteet & hyvitykset: Microsoft BleepingComputer | PCRisk.
