Locky Ransomware е смъртоносен! Ето всичко, което трябва да знаете за този вирус.

Локи е името на Ransomware, който се развива късно, благодарение на постоянното надграждане на алгоритъма от неговите автори. Locky, както се предполага от името му, преименува всички важни файлове на заразения компютър, като им дава разширение .лок и изисква откуп за ключовете за дешифриране.

Locky ransomware - Evolution

Ransomware нарасна с тревожни темпове през 2016 г. Той използва имейл и социално инженерство за влизане във вашите компютърни системи. Повечето имейли с прикачени злонамерени документи съдържаха популярния щам на рансъмуер Locky. Сред милиардите съобщения, които са използвали злонамерени прикачени документи, около 97% са с Lons ransomware, което е тревожно 64% ​​увеличение спрямо първото тримесечие на 2016 г., когато е открито за първи път.

The Locky рансъмуер е открита за първи път през февруари 2016 г. и според съобщенията е изпратена на половин милион потребители. Локи попадна в светлината на прожекторите, когато през февруари тази година Холивудският презвитериански медицински център плати откуп от $ 17 000 биткойн за ключа за дешифриране на данни за пациенти. Locky заразени данни на болница чрез прикачен имейл, прикрит като фактура в Microsoft Word.

От февруари Locky веригира своите разширения в опит да заблуди жертвите, че са заразени от различен Ransomware. Локи първоначално преименува криптираните файлове на .лок и когато лятото пристигна, той се превърна в .зепто разширение, което се използва в множество кампании оттогава.

Последно чуто, Locky сега криптира файлове с .ОДИН разширение, опитвайки се да обърка потребителите, че всъщност това е рансъмуерът Один.

Locky Ransomware

Locky рансъмуерът се разпространява главно чрез спам имейл кампании, провеждани от нападателите. Тези спам имейли имат предимно .doc файлове като прикачени файлове които съдържат разбъркан текст, изглеждащ като макрос.

Типичен имейл, използван при разпространението на рансъмуер Locky, може да бъде фактура, която привлича вниманието на повечето потребители, например,

Темата на имейла може да бъде - „ATTN: Фактура P-12345678“, заразена привързаност - “фактура_P-12345678.док”(Съдържа макроси, които изтеглят и инсталират рансъмуер Locky на компютри):“

И тяло на имейл - „Уважаеми, моля, вижте приложената фактура (документ на Microsoft Word) и извършете плащане съгласно условията, изброени в долната част на фактурата. Уведомете ни, ако имате някакви въпроси. Ние високо ценим вашия бизнес!”

След като потребителят разреши макро настройките в програмата Word, на компютъра се изтегля изпълним файл, който всъщност е рансъмуерът. След това различни файлове на компютъра на жертвата се криптират от рансъмуера, като им дават уникални 16-цифрени имена на комбинации с .лайна, .тор, .лок, .зепто или .Один файлови разширения. Всички файлове са криптирани с помощта на RSA-2048 и AES-1024 алгоритми и изискват личен ключ, съхраняван на отдалечените сървъри, контролирани от кибер престъпниците, за дешифриране.

След като файловете са шифровани, Locky генерира допълнително .текст и _HELP_instructions.html файл във всяка папка, съдържаща криптираните файлове. Този текстов файл съдържа съобщение (както е показано по-долу), което информира потребителите за криптирането.

Освен това в него се посочва, че файловете могат да бъдат декриптирани само с помощта на декриптор, разработен от кибер престъпници и струващ разходи .5 биткойни. Следователно, за да си върне файловете, жертвата е помолена да инсталира браузъра Tor и да последва връзка, предоставена в текстовите файлове / тапети. Уебсайтът съдържа инструкции за извършване на плащането.

Няма гаранция, че дори след извършване на плащането файловете на жертвите ще бъдат декриптирани. Но обикновено, за да защитят своята „репутация“, авторите на рансъмуер обикновено се придържат към своята част от сделката.

Locky Ransomware се променя от .wsf към .LNK разширение

Публикувайте еволюцията му тази година през февруари; Locky рансъмуерните инфекции постепенно намаляват с по-малко откривания на Немукод, които Locky използва за заразяване на компютри. (Nemucod е .wsf файл, съдържащ се в .zip прикачени файлове в нежелана поща). Както обаче съобщава Microsoft, авторите на Locky са променили прикачения файл от .wsf файлове да се преки файлове (.Разширение LNK), които съдържат PowerShell команди за изтегляне и стартиране на Locky.

Пример за спам имейл по-долу показва, че той е създаден, за да привлече незабавно внимание от потребителите. Изпраща се с голямо значение и със случайни знаци в темата. Основният текст на имейла е празен.

Спам имейл обикновено се назовава, когато Бил пристига с .zip прикачен файл, който съдържа .LNK файлове. При отваряне на .zip прикачен файл, потребителите задействат веригата на инфекцията. Тази заплаха се открива като TrojanDownloader: PowerShell / Ploprolo.A. Когато скриптът PowerShell се стартира успешно, той изтегля и изпълнява Locky във временна папка, завършваща веригата на заразата.

Типове файлове, насочени от Locky Ransomware

По-долу са типовете файлове, насочени от рансъмуера Locky.

.юв, .ycbcra, .xis, .wpd, .текс, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .плъх, .раф, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .друго, .orf, .odm, .отф, .nyf, .nxl, .nwb, .nrw, .nop, .Неф, .ndd, .мид, .господин, .парична яма, .мни, .mmw, .mfw, .меф, .mdc, .луа, .kpdx, .kdc, .kdbx, .jpe, .вкл, .iiq, .ibz, .ibank, .hbk, .грис, .сиво, .сиво, .fhd, .ffd, .exf, .ерф, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .дес, .дер, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .обхождане, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .залив, .банка, .backupdb, .архивиране, .обратно, .awg, .apj, .айт, .agdl, .реклами, .adb, .акр, .ах, .съгл, .съгл, .отговарят, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .дневник, .hpp, .hdd, .групи, .flvv, .edb, .dit, .dat, .cmt, .кошче, .aiff, .xlk, .вата, .tlg, .казвам, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .потупване, .масло, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .Ф ф ф, .fdb, .dtd, .дизайн, .ddd, .dcr, .дак, .cdx, .cdf, .смес, .bkp, .adp, .действай, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .точка, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .запази, .безопасно, .pwm, .страници, .обект, .mlb, .mbx, .осветена, .laccdb, .kwm, .idx, .html, .елф, .dxf, .dwg, .dds, .csv, .css, .конфиг, .cfg, .цер, .asx, .aspx, .аои, .съгл, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .съобщ, .mapimail, .jnt, .док, .dbx, .контакт, .средата, .wma, .flv, .mkv, .мов, .avi, .asf, .mpeg, .глас, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .портфейл, .upk, .сав, .ltx, .litesql, .литемод, .lbf, .Аз Wi, .кова, .das, .d3dbsp, .bsa, .бик, .актив, .apk, .gpg, .аес, .ДЪГА, .PAQ, .катран.bz2, .tbk, .бак, .катран, .tgz, .rar, .цип, .djv, .djvu, .svg, .bmp, .png, .gif, .суров, .cgm, .jpeg, .jpg, .tif, .тиф, .NEF, .psd, .cmd, .прилеп, .клас, .буркан, .java, .asp, .brd, .sch, .dch, .потапяне, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .отб, .dbf, .mdb, .кв, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .възходящо, .lay6, .лежеше, .ms11 (копие на защитата), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .отг, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .гърне, .pps, .сти, .sxi, .otp, .отп, .седмици, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .разл, .stc, .sxc, .ots, .отс, .hwp, .dotm, .точка, .docm, .docx, .ТОЧКА, .макс, .xml, .текст, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .отт, .отт, .DOC, .пем, .csr, .crt, .ке.

Как да предотвратим атака на Locky Ransomware

Locky е опасен вирус, който представлява сериозна заплаха за вашия компютър. Препоръчително е да следвате тези инструкции, за да предотвратите рансъмуера и да не се заразите.

1. Винаги разполагайте със софтуер против злонамерен софтуер и софтуер против рансъмуер, който защитава вашия компютър, и го актуализирайте редовно.
2. Актуализирайте Windows OS и останалата част от софтуера си актуализирани, за да смекчите възможните софтуерни експлойти.
3. Архивирайте редовно важните си файлове. Добра възможност е да ги запазите офлайн, отколкото в облачно хранилище, тъй като вирусът може да достигне и там
4. Деактивирайте зареждането на макроси в програмите на Office. Отварянето на заразен файл с документи на Word може да се окаже рисковано!
5. Не отваряйте сляпо поща в секциите за нежелана поща или нежелана поща. Това може да ви подмами да отворите имейл, съдържащ зловредния софтуер. Помислете, преди да щракнете върху уеб връзки на уебсайтове или имейли или да изтеглите прикачени файлове към имейли от податели, които не познавате. Не щракайте и не отваряйте такива прикачени файлове:

1. Файлове с .LNK разширение
2. Файлове с.wsf разширение
3. Файлове с удължение с двойна точка (например profile-p29d ... wsf).

Прочети: Какво да направя след Ransomware атака на вашия компютър с Windows?

Как да декриптирам Locky Ransomware

Към момента няма налични декриптори за рансъмуер Locky. Декриптор от Emsisoft обаче може да се използва за дешифриране на файлове, кодирани от AutoLocky, друг рансъмуер, който също преименува файлове на .локи разширение. AutoLocky използва скриптов език AutoI и се опитва да имитира сложния и изтънчен рансъмуер Locky. Можете да видите пълния списък с наличните инструменти за декриптиране на рансъмуер тук.

Източници и кредити: Microsoft | BleepingComputer | PCRisk.