Ransomware

Locky Ransomware er dødelig! Her er alt du bør vite om dette viruset.

Locky Ransomware er dødelig! Her er alt du bør vite om dette viruset.

Locky er navnet på en Ransomware som har utviklet seg sent, takket være den konstante oppgraderingen av algoritmen fra forfatterne. Locky, som navnet antyder, gir nytt navn til alle viktige filer på den infiserte PC-en, noe som gir dem en utvidelse .locky og krever løsepenger for dekrypteringsnøklene.

Locky ransomware - Evolusjon

Ransomware har vokst med en alarmerende hastighet i 2016. Den bruker e-post og sosial ingeniørfag til å angi datasystemene dine. De fleste e-postmeldinger med skadelige dokumenter var vedlagt den populære ransomware-belastningen Locky. Blant milliardene av meldinger som brukte skadelige dokumentvedlegg, inneholdt rundt 97% Locky ransomware, det er en alarmerende økning på 64% fra første kvartal 2016 da den først ble oppdaget.

De Locky ransomware ble først oppdaget i februar 2016 og ble angivelig sendt til en halv million brukere. Locky kom i rampelyset da Hollywood Presbyterian Medical Center i februar i år betalte $ 17.000 Bitcoin løsepenger for dekrypteringsnøkkelen for pasientdata. Locky infiserte sykehusdata gjennom et e-postvedlegg forkledd som en Microsoft Word-faktura.

Siden februar har Locky kjedet utvidelsene sine i et forsøk på å lure ofrene for at de har blitt smittet av en annen Ransomware. Locky startet opprinnelig med å gi nytt navn til de krypterte filene til .locky og da sommeren kom, utviklet den seg til .zepto utvidelse, som har blitt brukt i flere kampanjer siden.

Sist hørt, krypterer Locky nå filer med .ODIN utvidelse, prøver å forvirre brukere at det faktisk er Odin ransomware.

Locky Ransomware

Locky ransomware sprer seg hovedsakelig via spam-e-postkampanjer som drives av angriperne. Disse spam e-postene har for det meste .doc-filer som vedlegg som inneholder kryptert tekst som ser ut til å være makroer.

En typisk e-postmelding som brukes i Locky-ransomware-distribusjon, kan være av en faktura som fanger de fleste brukeres oppmerksomhet, for eksempel,

E-postemnet kan være - “ATTN: Faktura P-12345678”, infisert vedlegg - “faktura_P-12345678.dok”(Inneholder makroer som laster ned og installerer Locky ransomware på datamaskiner):”

Og e-postorgan - “Kjære, vennligst se vedlagte faktura (Microsoft Word-dokument) og betal betaling i henhold til vilkårene som er oppført nederst på fakturaen. Gi oss beskjed hvis du har spørsmål. Vi setter stor pris på virksomheten din!”

Når brukeren aktiverer makroinnstillinger i Word-programmet, blir en kjørbar fil som faktisk er løseprogrammet lastet ned på PCen. Deretter blir forskjellige filer på offerets PC kryptert av ransomware, noe som gir dem unike kombinasjoner med 16 bokstaver - siffer med .dritt, .Thor, .locky, .zepto eller .odin filutvidelser. Alle filene blir kryptert med RSA-2048 og AES-1024 algoritmer og krever en privat nøkkel som er lagret på eksterne servere kontrollert av nettkriminelle for dekryptering.

Når filene er kryptert, genererer Locky en ekstra .tekst og _HELP_instruksjoner.html filen i hver mappe som inneholder de krypterte filene. Denne tekstfilen inneholder en melding (som vist nedenfor) som informerer brukere om kryptering.

Det heter videre at filer bare kan dekrypteres ved hjelp av en dekrypteringsprogram utviklet av nettkriminelle og koster .5 BitCoin. Derfor, for å få filene tilbake, blir offeret bedt om å installere Tor-nettleseren og følge en lenke i tekstfilene / bakgrunnsbildet. Nettstedet inneholder instruksjoner for å utføre betalingen.

Det er ingen garanti for at selv etter at betalingsofferet er blitt dekryptert. Men vanligvis for å beskytte sitt 'rykte' ransomware-forfattere holder seg vanligvis til sin del av kuppet.

Locky Ransomware skifter fra .wsf til .LNK-utvidelse

Legg ut evolusjonen i år i februar; Locky ransomware-infeksjoner har gradvis redusert med mindre oppdagelser av Nemucod, som Locky bruker for å infisere datamaskiner. (Nemucod er en .wsf-filen som finnes i .zip-vedlegg i spam-e-post). Imidlertid, som Microsoft rapporterer, har Locky-forfattere endret vedlegget fra .wsf filer til snarveisfiler (.LNK-utvidelse) som inneholder PowerShell-kommandoer for å laste ned og kjøre Locky.

Et eksempel på spam-e-posten nedenfor viser at den er laget for å tiltrekke øyeblikkelig oppmerksomhet fra brukerne. Den sendes med stor betydning og med tilfeldige tegn i emnelinjen. E-postens kropp er tom.

Spam-e-posten heter vanligvis når Bill kommer med en .zip-vedlegg, som inneholder .LNK filer. I åpningen av .zip-vedlegg, brukere utløser infeksjonskjeden. Denne trusselen oppdages som TrojanDownloader: PowerShell / Ploprolo.EN. Når PowerShell-skriptet kjøres, laster det ned og kjører Locky i en midlertidig mappe som fullfører infeksjonskjeden.

Filtyper målrettet av Locky Ransomware

Nedenfor er filtypene som Locky ransomware målretter mot.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rotte, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .pluss_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .min D, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grå, .grå, .fhd, .ffd, .eks, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bukt, .bank, .backupdb, .sikkerhetskopi, .tilbake, .awg, .apj, .ait, .agdl, .annonser, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .Logg, .hpp, .hdd, .grupper, .flvv, .edb, .dit, .dat, .cmt, .søppel, .aiff, .xlk, .wad, .tlg, .si, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .klapp, .olje, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blanding, .bkp, .adp, .handling, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .punktum, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .lagre, .sikker, .pwm, .sider, .obj, .mlb, .mbx, .tent, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .dok, .dbx, .ta kontakt med, .midt, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .lommebok, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .smi, .das, .d3dbsp, .bsa, .bik, .ressurs, .apk, .gpg, .aes, .BUE, .PAQ, .tjære.bz2, .tbk, .bak, .tjære, .tgz, .rar, .glidelås, .djv, .djvu, .svg, .bmp, .png, .gif, .rå, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .flaggermus, .klasse, .krukke, .java, .asp, .brd, .sch, .dch, .dyppe, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MIN JEG, .MIN D, .frm, .odb, .dbf, .mdb, .kvm, .SQLITEDB, .SQLITE3, .PST, .onetoc2, .asc, .legge6, .legge, .ms11 (sikkerhetskopi), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .gryte, .pps, .sti, .sxi, .otp, .odp, .uker, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .st, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .PUNKTUM, .maks, .xml, .tekst, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.

Hvordan forhindre Locky Ransomware-angrep

Locky er et farlig virus som har en alvorlig trussel mot PCen din. Det anbefales at du følger disse instruksjonene for å forhindre ransomware og unngå å bli smittet.

  1. Ha alltid en anti-malware programvare og en anti-ransomware programvare som beskytter din PC og oppdater den regelmessig.
  2. Oppdater Windows OS og resten av programvaren din oppdatert for å redusere mulig programvareutnyttelse.
  3. Sikkerhetskopier viktige filer regelmessig. Det er et godt alternativ å ha dem lagret offline enn på en skylagring, siden virus også kan nå dit
  4. Deaktiver lasting av makroer i Office-programmer. Å åpne en infisert Word-dokumentfil kan være risikabelt!
  5. Ikke åpne e-post i e-postavsnittene "Spam" eller "Søppel". Dette kan lure deg til å åpne en e-postmelding som inneholder skadelig programvare. Tenk før du klikker på weblenker på nettsteder eller e-poster eller laster ned e-postvedlegg fra avsendere som du ikke kjenner. Ikke klikk eller åpne slike vedlegg:
    1. Filer med .LNK-utvidelse
    2. Filer med.wsf-utvidelse
    3. Filer med dobbeltpunktsutvidelse (for eksempel profil-p29d ... wsf).

Lese: Hva skal jeg gjøre etter et Ransomware-angrep på Windows-datamaskinen din??

Hvordan dekryptere Locky Ransomware

Per nå er det ingen dekryptere tilgjengelig for Locky ransomware. Imidlertid kan en Decryptor fra Emsisoft brukes til å dekryptere filer kryptert av AutoLocky, en annen ransomware som også omdøper filer til .låsende utvidelse. AutoLocky bruker skriptspråk AutoI og prøver å etterligne den komplekse og sofistikerte Locky ransomware. Du kan se den komplette listen over tilgjengelige ransomware-dekrypteringsverktøy her.

Kilder og kreditter: Microsoft | BleepingComputer | PCRisk.

Spill OpenTTD vs Simutrans
OpenTTD vs Simutrans
Å lage din egen transportsimulering kan være morsom, avslappende og ekstremt fristende. Derfor må du sørge for at du prøver så mange spill som mulig f...
Spill OpenTTD Tutorial
OpenTTD Tutorial
OpenTTD er et av de mest populære forretningssimuleringsspillene der ute. I dette spillet må du lage en fantastisk transportvirksomhet. Du begynner im...
Spill SuperTuxKart for Linux
SuperTuxKart for Linux
SuperTuxKart er en flott tittel designet for å gi deg Mario Kart-opplevelsen gratis på Linux-systemet ditt. Det er ganske utfordrende og morsomt å spi...