Ransomware

Locky Ransomware er dødbringende! Her er alt hvad du skal vide om denne virus.

Locky Ransomware er dødbringende! Her er alt hvad du skal vide om denne virus.

Locky er navnet på en Ransomware, der har udviklet sig sent, takket være den konstante opgradering af algoritmer fra dens forfattere. Locky, som foreslået af sit navn, omdøber alle vigtige filer på den inficerede pc, hvilket giver dem en udvidelse .låsende og kræver løsesum for dekrypteringsnøglerne.

Locky ransomware - Evolution

Ransomware er vokset med en alarmerende hastighed i 2016. Det bruger Email & Social Engineering til at indtaste dine computersystemer. De fleste e-mails med skadelige dokumenter vedhæftede den populære ransomware-stamme Locky. Blandt de milliarder af beskeder, der brugte ondsindede vedhæftede filer, indeholdt omkring 97% Locky ransomware, hvilket er en alarmerende stigning på 64% fra første kvartal 2016, da den først blev opdaget.

Det Locky ransomware blev først opdaget i februar 2016 og blev efter sigende sendt til en halv million brugere. Locky kom i rampelyset, da Hollywood Presbyterian Medical Center i februar i år betalte $ 17.000 Bitcoin-løsepenge for dekrypteringsnøglen til patientdata. Locky inficerede hospitalets data via en vedhæftet fil i e-mail forklædt som en Microsoft Word-faktura.

Siden februar har Locky kædet sine udvidelser i et forsøg på at bedrage ofre for, at de er blevet inficeret af en anden Ransomware. Locky startede oprindeligt med at omdøbe de krypterede filer til .låsende og da sommeren ankom, udviklede den sig til .zepto udvidelse, som har været brugt i flere kampagner siden.

Sidst hørt, krypterer Locky nu filer med .ODIN udvidelse, forsøger at forvirre brugerne, at det faktisk er Odin ransomware.

Locky Ransomware

Locky ransomware spredes hovedsageligt via spam-e-mail-kampagner, der køres af angriberne. Disse spam-e-mails har for det meste .doc-filer som vedhæftede filer der indeholder krypteret tekst, der ser ud til at være makroer.

En typisk e-mail, der bruges i Locky-ransomware-distribution, kan være af en faktura, der fanger mest brugeres opmærksomhed, for eksempel,

E-mail-emne kan være - “ATTN: Faktura P-12345678”, inficeret vedhæftet fil - “faktura_P-12345678.dok”(Indeholder makroer, der downloader og installerer Locky ransomware på computere):”

Og e-mail-organ - “Kære person, se den vedhæftede faktura (Microsoft Word-dokument), og betal betalingen i henhold til de betingelser, der er anført nederst på fakturaen. Fortæl os, hvis du har spørgsmål. Vi sætter stor pris på din forretning!”

Når brugeren aktiverer makroindstillinger i Word-programmet, downloades en eksekverbar fil, der faktisk er ransomware, på pc'en. Derefter krypteres forskellige filer på offerets pc af ransomware, hvilket giver dem unikke kombinationer med 16 bogstaver - med .lort, .thor, .låsende, .zepto eller .odin filtypenavne. Alle filer krypteres ved hjælp af RSA-2048 og AES-1024 algoritmer og kræver en privat nøgle, der er gemt på fjernserverne, der styres af cyberkriminelle til dekryptering.

Når filerne er krypteret, genererer Locky en ekstra .txt og _HJÆLP_instruktioner.html fil i hver mappe, der indeholder de krypterede filer. Denne tekstfil indeholder en besked (som vist nedenfor), der informerer brugerne om kryptering.

Det hedder endvidere, at filer kun kan dekrypteres ved hjælp af en dekrypter, der er udviklet af cyberkriminelle og koster .5 BitCoin. Derfor, for at få filerne tilbage, bliver offeret bedt om at installere Tor-browseren og følge et link i tekstfilerne / tapetet. Hjemmesiden indeholder instruktioner til betaling.

Der er ingen garanti for, at selv efter at betalingsofferet er blevet dekrypteret. Men normalt for at beskytte sit 'ry' ransomware forfattere holder sig normalt til deres del af handlen.

Locky Ransomware skifter fra .wsf til .LNK udvidelse

Opret sin udvikling i år i februar; Locky ransomware-infektioner er gradvist faldet med mindre registreringer af Nemucod, som Locky bruger til at inficere computere. (Nemucod er en .wsf-fil indeholdt i .zip-vedhæftede filer i spam-e-mail). Som Microsoft rapporterer, har Locky-forfattere dog ændret vedhæftet fil fra .wsf filer til genvejsfiler (.LNK-udvidelse), der indeholder PowerShell-kommandoer til at downloade og køre Locky.

Et eksempel på spam-e-mailen nedenfor viser, at den er lavet til at tiltrække øjeblikkelig opmærksomhed fra brugerne. Det sendes med stor betydning og med tilfældige tegn i emnelinjen. E-mailens brødtekst er tom.

Spam-mailen navngives typisk, når Bill ankommer med en .lynlås vedhæftet fil, som indeholder .LNK-filer. I åbningen af .zip-vedhæftet fil, brugerne udløser infektionskæden. Denne trussel opdages som TrojanDownloader: PowerShell / Ploprolo.EN. Når PowerShell-scriptet køres, downloades det og udfører Locky i en midlertidig mappe, der fuldfører infektionskæden.

Filtyper målrettet af Locky Ransomware

Nedenfor er de filtyper, der er målrettet mod Locky ransomware.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rotte, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .intet p, .nef, .ndd, .myd, .mrw, .moneywell, .min, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grå, .grå, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .DCS, .db_journal, .csl, .csh, .crw, .kravle, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .Bugt, .bank, .backupdb, .sikkerhedskopi, .tilbage, .awg, .apj, .ait, .agdl, .annoncer, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .grupper, .flvv, .edb, .dit, .dat, .cmt, .beholder, .aiff, .xlk, .wad, .tlg, .sige, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .klappe, .olie, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blanding, .bkp, .adp, .handling, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .prik, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .Gemme, .sikker, .pwm, .sider, .obj, .mlb, .mbx, .tændt, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .dok, .dbx, .kontakt, .midt, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .tegnebog, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .smede, .das, .d3dbsp, .bsa, .bik, .aktiv, .apk, .gpg, .aes, .BUE, .PAQ, .tjære.bz2, .tbk, .bag, .tjære, .tgz, .rar, .lynlås, .djv, .djvu, .svg, .bmp, .png, .gif, .rå, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .flagermus, .klasse, .krukke, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MIT JEG, .MYD, .frm, .odb, .dbf, .mdb, .kvm, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lægge6, .lægge, .ms11 (sikkerhedskopi), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .gryde, .pps, .sti, .sxi, .otp, .odp, .uger, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stk, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .maks, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.

Sådan forhindres Locky Ransomware-angreb

Locky er en farlig virus, der har en alvorlig trussel mod din pc. Det anbefales, at du følger disse instruktioner for at forhindre ransomware og undgå at blive smittet.

  1. Hav altid en anti-malware-software og en anti-ransomware-software, der beskytter din pc, og opdater den regelmæssigt.
  2. Opdater dit Windows OS og resten af ​​din software opdateret for at afbøde mulige softwareudnyttelser.
  3. Sikkerhedskopier regelmæssigt dine vigtige filer. Det er en god mulighed at have dem gemt offline end på en skylager, da virus også kan nå der
  4. Deaktiver indlæsning af makroer i Office-programmer. Åbning af en inficeret Word-dokumentfil kan vise sig at være risikabelt!
  5. Åbn ikke e-mail i blindsektionen 'Spam' eller 'Uønsket'. Dette kan narre dig til at åbne en e-mail, der indeholder malware. Tænk inden du klikker på weblinks på websteder eller e-mails eller downloader vedhæftede filer fra e-mails, som du ikke kender. Klik eller åbn ikke sådanne vedhæftede filer:
    1. Filer med .LNK udvidelse
    2. Filer med.wsf udvidelse
    3. Filer med dobbeltpunktsudvidelse (for eksempel profil-p29d… wsf).

Læs: Hvad skal jeg gøre efter et Ransomware-angreb på din Windows-computer?

Sådan dekrypteres Locky Ransomware

Fra nu af er der ingen dekryptere tilgængelige til Locky ransomware. En Decryptor fra Emsisoft kan dog bruges til at dekryptere filer krypteret af AutoLocky, en anden ransomware, der også omdøber filer til .låsende udvidelse. AutoLocky bruger scripting sprog AutoI og forsøger at efterligne den komplekse og sofistikerede Locky ransomware. Du kan se den komplette liste over tilgængelige ransomware-dekrypteringsværktøjer her.

Kilder og kreditter: Microsoft | BleepingComputer | PCRisk.

Spil Vulkan til Linux-brugere
Vulkan til Linux-brugere
Med hver nye generation af grafikkort ser vi spiludviklere skubbe grænserne for grafisk troskab og komme et skridt tættere på fotorealisme. Men på tro...
Spil OpenTTD vs Simutrans
OpenTTD vs Simutrans
Oprettelse af din egen transportsimulering kan være sjovt, afslappende og ekstremt lokkende. Derfor skal du sørge for at prøve så mange spil som mulig...
Spil OpenTTD Tutorial
OpenTTD Tutorial
OpenTTD er et af de mest populære forretningssimuleringsspil derude. I dette spil skal du oprette en vidunderlig transportvirksomhed. Du starter dog i...