Locky это имя Ransomware, которое развивается поздно, благодаря постоянному обновлению алгоритма его авторами. Locky, как было предложено его именем, переименовывает все важные файлы на зараженном ПК, предоставляя им расширение .locky и требует выкупа ключей дешифрования.
Locky ransomware - Evolution
Ransomeware выросла с угрожающей скоростью в 2016 году. Он использует электронную почту и социальную инженерию для входа в ваши компьютерные системы. Большинство писем с прикрепленными вредоносными документами показывали популярный штамп Locky. Среди миллиардов сообщений, которые использовали вложения вредоносных документов, около 97% отличались от Rysomware Locky, что вызывает тревогу на 64% по сравнению с первым кварталом 2016 года, когда оно было впервые обнаружено.
Локки-выкуп был впервые обнаружен в феврале 2016 года и, как сообщается, был отправлен на полмиллиона пользователей. Локки пришел в центр внимания, когда в феврале этого года Голливудский пресвитерианский медицинский центр заплатил выкуп за биткойну за 17 000 долларов за ключ дешифрования для данных пациентов. Локки заразил данные больницы через приложение электронной почты, замаскированное под счет Microsoft Word.
С февраля Локки цепляет свои расширения в попытке обмануть жертв, что они были заражены другим Ransomware. Locky начал первоначально переименовывать зашифрованные файлы в .locky и к лету лета он превратился в .zepto расширение, которое было использовано в нескольких кампаниях с тех пор.
В последний раз Locky теперь шифрует файлы с помощью .ODIN расширение, пытаясь запутать пользователей, что это на самом деле выкупленная Odin.
Locky Ransomware
Locky ransomware распространяется, главным образом, с помощью спам-писем, которыми управляют злоумышленники. Эти спам-сообщения в основном .doc файлы в виде вложений которые содержат скремблированный текст, представляющий собой макросы.
Типичное электронное письмо, используемое в рассылке Rokomware Locky, может содержать счет, который привлекает внимание большинства пользователей. Например,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
После того, как пользователь включит параметры макроса в программе Word, на ПК загружается исполняемый файл, который фактически является выкупом. После этого различные файлы на ПК жертвы зашифровываются вымогателем, что дает им уникальные 16-значные имена комбинаций с .дерьмо, .thor, .locky, .zepto или же .odin расширения файлов. Все файлы зашифрованы с помощью RSA-2048 а также AES-1024 алгоритмы и требуют наличия секретного ключа, хранящегося на удаленных серверах, контролируемых киберпреступниками для дешифрования.
После того, как файлы зашифрованы, Locky генерирует дополнительную .текст а также _HELP_instructions.html файл в каждой папке, содержащей зашифрованные файлы. Этот текстовый файл содержит сообщение (как показано ниже), которое информирует пользователей о шифровании.
Locky Ransomware изменяется с.wsf на расширение.LNK
Опубликовать свою эволюцию в этом году в феврале; Инфекции Locky ransomware постепенно снижались при меньших Nemucod, которые Локки использует для заражения компьютеров. (Nemucod является файлом.wsf, содержащимся в.zip-вложениях в спам-письме). Однако, как сообщает Microsoft, авторы Locky изменили приложение с .wsf-файлы в файлы быстрого доступа (Расширение.LNK), которые содержат команды PowerShell для загрузки и запуска Locky.
Пример приведенного ниже спам-сообщения показывает, что он предназначен для привлечения немедленного внимания со стороны пользователей. Он отправляется с большим значением и со случайными символами в строке темы. Тело письма пуст.
Спам-адрес электронной почты обычно именуется, когда Билл приходит с вложением.zip, которое содержит файлы.LNK. При открытии приложения.zip пользователи запускают цепочку заражения. Эта угроза определяется как TrojanDownloader: PowerShell / Ploprolo.A, Когда сценарий PowerShell успешно выполняется, он загружает и выполняет Locky во временной папке, завершающей цепочку заражения.
Типы файлов, предназначенные для Locky Ransomware
Ниже приведены типы файлов, предназначенные для Rawomware Locky.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Как предотвратить атаку Locky Ransomware
Locky - опасный вирус, который обладает серьезной угрозой для вашего ПК. Рекомендуется следовать этим инструкциям, чтобы предотвратить выкуп и избежать заражения.
- У вас всегда есть антивирусное программное обеспечение и программное обеспечение для защиты от вымогательства, которое защищает ваш компьютер и регулярно обновляет его.
- Обновите свою ОС Windows и остальную часть вашего программного обеспечения, чтобы смягчить возможные программные эксплойты.
- Регулярно создавайте резервные копии важных файлов. Это хороший вариант, когда они сохраняются в автономном режиме, чем в облачном хранилище, поскольку вирус также может туда попасть
- Отключите загрузку макросов в программах Office. Открытие зараженного файла документа Word может оказаться рискованным!
- Не слепо открывайте почту в разделах электронной почты «Спам» или «Нежелательная». Это может помочь вам открыть письмо с вредоносным ПО. Подумайте, прежде чем нажимать на веб-ссылки на веб-сайтах или электронной почте или загружать вложения электронной почты от отправителей, которых вы не знаете. Не нажимайте и не открывайте такие вложения:
- Файлы с расширением.LNK
- Файлы с расширением.wsf
- Файлы с расширением двойной точки (например, profile-p29d..wsf).
Читать: Что делать после атаки Ransomware на вашем компьютере под управлением Windows?
Как расшифровать Locky Ransomware
На данный момент нет доступных расшифровщиков для Rawomware Locky. Тем не менее, Decryptor от Emsisoft может использоваться для дешифрования файлов, зашифрованных AutoLocky, еще один выкуп, который также переименовывает файлы в расширение.locky. AutoLocky использует язык сценариев AutoI и пытается имитировать сложную и сложную версию ROCKOMOS для Locky. Здесь вы можете увидеть полный список доступных инструментов дешифрования ransomware.
Источники и кредиты: Microsoft | БлефКомпьютер | PCRisk.