pane er navnet på en Ransomware som har utviklet seg sent, takket være den konstante algoritmoppgraderingen av sine forfattere. Locky, som foreslått av navnet, omdøper alle viktige filene på den infiserte PCen, og gir dem en utvidelse .locky og krever løsepenge for dekrypteringsnøklene.
Locky ransomware - Evolution
Ransomware har vokst i en foruroligende hastighet i 2016. Den bruker e-post og sosialteknologi for å komme inn i datasystemene dine. De fleste e-postmeldinger med skadelige dokumenter vedlagt inneholdt den populære ransomware-stammen Locky. Blant milliarder meldinger som brukte skadelige dokumentvedlegg, omfattet 97% Locky ransomware, det er en alarmerende 64% økning fra første kvartal 2016 da den ble oppdaget.
De Locky ransomware ble først oppdaget i februar 2016 og ble rapportert sendt til en halv million brukere. Locky kom inn i rampelyset da i februar i år betalte Hollywood Presbyterian Medical Center et $ 17,000 Bitcoin løsepris for dekrypteringsnøkkelen for pasientdata. Locky infiserte sykehusdata gjennom et e-postvedlegg som er skjult som en Microsoft Word-faktura.
Siden februar har Locky kjørt sine utvidelser for å bedra de ofre at de har blitt smittet av en annen Ransomware. Locky startet opprinnelig omdøpe de krypterte filene til .locky og da sommeren ankom, utviklet den seg til .zepto utvidelse, som har blitt brukt i flere kampanjer siden.
Sist hørt, Locky er nå kryptert filer med .ODIN utvidelse, prøver å forvirre brukere om at det faktisk er Odin ransomware.
Locky Ransomware
Locky ransomware sprer seg hovedsakelig via spam e-postkampanjer som drives av angriperne. Disse spam-e-postene har for det meste .doc-filer som vedlegg som inneholder kryptert tekst som ser ut til å være makroer.
En typisk epost som brukes i Locky ransomware distribusjon kan være av en faktura som fanger mest brukerens oppmerksomhet, for eksempel,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Når brukeren aktiverer makroinnstillinger i Word-programmet, blir en kjørbar fil som faktisk er ransomware lastet ned på PCen. Deretter krypteres ulike filer på offerets PC med ransomware som gir dem unike 16 bokstavs-sifferkombinasjonsnavn med .shit, .Thor, .locky, .zepto eller .odin filutvidelser. Alle filer er kryptert ved hjelp av RSA-2048 og AES-1024 algoritmer og krever en privat nøkkel lagret på de eksterne serverne kontrollert av cyberkriminelle for dekryptering.
Når filene er kryptert, genererer Locky en ekstra .tekst og _HELP_instructions.html fil i hver mappe som inneholder de krypterte filene. Denne tekstfilen inneholder en melding (som vist nedenfor) som informerer brukere om kryptering.
Locky Ransomware skifter fra.wsf til.LNK utvidelse
Legg ut sin utvikling i år i februar; Locky ransomware infeksjoner har gradvis redusert med mindre detekteringer av Nemucod, som Locky bruker til å infisere datamaskiner. (Nemucod er en.wsf-fil som finnes i.zip-vedlegg i spam-e-post). Som Microsoft har rapportert, har Locky forfattere endret vedlegget fra .wsf filer til snarvei filer (.LNK-utvidelse) som inneholder PowerShell-kommandoer for å laste ned og kjøre Locky.
Et eksempel på e-postadressen nedenfor viser at den er laget for å få umiddelbar oppmerksomhet fra brukerne. Den sendes med stor betydning og med tilfeldige tegn i emnelinjen. E-postens kropp er tom.
Den e-postadressen som eies av e-post, kommer vanligvis til som Bill kommer med et.zip vedlegg, som inneholder.LNK-filene. Ved å åpne.zip vedlegget, utløser brukerne infeksjonskjeden. Denne trusselen er oppdaget som Trojandownloader.Small.ZL: Powershell / Ploprolo.A. Når PowerShell-skriptet kjøres, laster det ned og kjører Locky i en midlertidig mappe som fullfører smittekjeden.
Filtyper målrettet av Locky Ransomware
Nedenfor finner du filtyper som er målrettet av Locky ransomware.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Slik hindrer du Locky Ransomware-angrep
Locky er et farlig virus som har en alvorlig trussel mot PCen din. Det anbefales at du følger disse instruksjonene for å unngå ransomware og unngå å bli smittet.
- Har alltid en anti-malware-programvare og en anti-ransomware-programvare som beskytter PCen din og oppdaterer den regelmessig.
- Oppdater Windows OS og resten av programvaren oppdatert for å redusere mulige programvareutnyttelser.
- Sikkerhetskopier dine viktige filer regelmessig. Det er et godt alternativ å få dem lagret frakoblet enn på en skylagring, siden viruset kan nå det også
- Deaktiver lastingen av makroer i Office-programmer. Å åpne en infisert Word-dokumentfil kan vise seg å være risikabelt!
- Ikke åpne blindt e-post i e-postdelene 'Spam' eller 'Uønsket'. Dette kan føre deg til å åpne en e-post som inneholder malware. Tenk før du klikker på nettsider på nettsteder eller e-post eller laster ned e-postvedlegg fra sendere som du ikke vet. Ikke klikk eller åpne slike vedlegg:
- Filer med.LNK-utvidelse
- Filer with.wsf utvidelse
- Filer med dobbeltpunktsutvidelse (for eksempel profil-p29d..wsf).
Lese: Hva skal jeg gjøre etter et Ransomware-angrep på Windows-datamaskinen din?
Slik dekrypterer du Locky Ransomware
Fra nå er det ingen dekryptere tilgjengelig for Locky ransomware. Imidlertid kan en Decryptor fra Emsisoft brukes til å dekryptere filer kryptert av AutoLocky, en annen ransomware som også omdøper filer til.locky-utvidelsen. AutoLocky bruker skriptspråk AutoI og prøver å etterligne det komplekse og sofistikerte Locky ransomware. Du kan se den komplette listen over tilgjengelige ransomware-dekrypteringsverktøy her.
Kilder og kreditter: Microsoft | BleepingComputer | PCRisk.
