Locky Ransomware är dödligt! Här är allt du borde veta om detta virus.
Locky är namnet på en Ransomware som har utvecklats för sent, tack vare den konstanta algoritmuppgraderingen av dess författare. Locky, som föreslagits av dess namn, byter namn på alla viktiga filer på den infekterade datorn och ger dem en förlängning .Locky och kräver lösenbelopp för dekrypteringsnycklarna.
Locky ransomware - Evolution
Ransomware har vuxit i en oroväckande takt år 2016. Det använder Email & Social Engineering för att komma in i dina datorsystem. De flesta e-postmeddelanden med skadliga dokument bifogade den populära ransomware-stammen Locky. Bland de miljarder meddelanden som använde skadliga dokument bifogade 97% Locky ransomware, det är en alarmerande 64% ökning från första kvartalet 2016 när den först upptäcktes.
De Locky ransomware upptäcktes först i februari 2016 och rapporterades till en halv miljon användare. Locky kom i rampljus när i februari i år betalade Hollywood Presbyterian Medical Center ett $ 17.000 Bitcoin lösenbelopp för dekrypteringsnyckeln för patientdata. Locky infekterade sjukhusens data genom en bifogad email bifogad som en Microsoft Word-faktura.
Sedan februari har Locky länkat sina förlängningar för att lura offer att de har smittats av en annan Ransomware. Locky började ursprungligen byta namn på de krypterade filerna till .Locky och vid den tid som sommaren anlände utvecklades den till .Zepto förlängning, som har använts i flera kampanjer sedan.
Senast hört, Locky krypterar nu filer med .ODIN förlängning, försöker förvirra användarna att det faktiskt är Odin ransomware.
Locky Ransomware
Locky ransomware sprider sig huvudsakligen via spam-e-postkampanjer som drivs av angriparna. Dessa spam e-postmeddelanden har mestadels .doc-filer som bilagor som innehåller krypterad text som verkar vara makron.
Ett typiskt e-postmeddelande som används i Locky ransomware-distribution kan vara en faktura som tar till sig mest användarens uppmärksamhet, till exempel,
E-post ämne kan vara - "ATTN: Faktura P-12345678", infekterad bilaga - "invoice_P-12345678.doc"(Innehåller makron som hämtar och installerar Locky ransomware på datorer):"
Och e-postkropp - "Kära någon, Vänligen se bifogad faktura (Microsoft Word Document) och betalningsavgift enligt villkoren listade längst ner på fakturan. Låt oss veta om du har några frågor. Vi uppskattar mycket ditt företag! "
När användaren aktiverat makroinställningar i Word-programmet laddas en körbar fil som faktiskt är ransomware på datorn. Därefter krypteras olika filer på offrets PC med ransomware som ger dem unika 16 bokstäver kombinerade namn med .Skit, .thor, .Locky, .Zepto eller .odin filtillägg. Alla filer är krypterade med hjälp av RSA-2048 och AES-1024 algoritmer och kräver en privat nyckel lagrad på fjärrservrarna som styrs av cyberkriminella för dekryptering.
När filerna är krypterade skapar Locky ytterligare .Text och _HELP_instructions.html filen i varje mapp som innehåller krypterade filer. Den här textfilen innehåller ett meddelande (som visas nedan) som informerar användare om krypteringen.
Det anges vidare att filer endast kan dekrypteras med hjälp av en dekrypter som utvecklats av cyberkriminella och kostar .5 BitCoin. För att få tillbaka filerna blir offeret ombedd att installera Tor-webbläsaren och följa en länk som finns i textfilerna / tapeten. Webbplatsen innehåller instruktioner för att göra betalningen.
Det finns ingen garanti för att även efter att ha gjort betaloffret kommer filer att dekrypteras. Men vanligtvis för att skydda sitt "rykte" ransomware författare brukar hålla sig till sin del av fyndet.
Locky Ransomware byter från .wsf till .LNK förlängning
Skriv dess utveckling i år i februari; Locky ransomware infektioner har gradvis minskat med mindre detektioner av Nemucod, vilken Locky använder för att infektera datorer. (Nemucod är en .wsf-fil som finns i .zip-bilagor i spam-e-post). Som Microsoft rapporterar har Locky författare ändrat bilagan från .wsf-filer till genvägsfiler (.LNK-förlängning) som innehåller PowerShell-kommandon för att ladda ner och köra Locky.
Ett exempel på spam-e-postmeddelandet nedan visar att det är gjord för att locka omedelbar uppmärksamhet från användarna. Den skickas med stor vikt och med slumpmässiga tecken i ämnesraden. E-postens kropp är tom.
Skräppostet namnges vanligtvis som Bill kommer med en .zip-bilaga, som innehåller .LNK-filerna. När du öppnar .zip-bilagan, utlöser användarna infektionskedjan. Detta hot upptäcks som Trojandownloader: Power / Ploprolo.A. När PowerShell-skriptet körs, laddar det ner och kör Locky i en tillfällig mapp som slutför infektionskedjan.
Filtyper riktade till Locky Ransomware
Nedan finns de filtyper som riktas av Locky ransomware.
.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .xx, .srw, .srf, .qlitedb, .qlite3, .qlite, .sdf, .da, .s3db, .rwz, .wwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf , .nxl, .nwb, .now, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx,. kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6 , .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads,. adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff , .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf,. nsd, .m os, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr , .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html,. flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod,. .bg, .bk tjära, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf , .mdf, .ibd, .MYI, .MYD, .frm, .od b, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Säkerhetskopia), .sldm, .sldx, .ppsm, .ppsx .pam, .docb, .mml, .xm, .otg, .odg, .op, .potx, .potm, .pptx, .pptm, .std, .xx, .pot, .pps, .sti,. xx, xx, xx, xx, xx, xx, xx, .ots, .ds, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT , .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.
Hur man förhindrar Locky Ransomware attack
Locky är ett farligt virus som har ett allvarligt hot mot din dator. Det rekommenderas att du följer dessa instruktioner för att förhindra ransomware och undvika att bli smittade.
- Har alltid en anti-malware-programvara och en anti-ransomware-programvara som skyddar datorn och uppdaterar den regelbundet.
- Uppdatera ditt Windows OS och resten av din programvara uppdaterad för att mildra eventuella programvaruutnyttjanden.
- Säkerhetskopiera dina viktiga filer regelbundet. Det är ett bra alternativ att få dem sparade offline än på ett molnlagring eftersom viruset kan nå det också
- Inaktivera laddningen av makron i Office-program. Att öppna en infekterad Word-dokumentfil kan visa sig vara riskabel!
- Öppna inte blint mail i avsnittet "Spam" eller "Skräp". Detta kan lura dig att öppna ett e-postmeddelande som innehåller skadlig programvara. Tänk innan du klickar på webblänkar på webbplatser eller e-postmeddelanden eller hämtar e-postbilagor från avsändare som du inte vet. Klicka inte på eller öppna sådana bilagor:
- Filer med .LNK-förlängning
- Filer with.wsf extension
- Filer med dubbelpunktsförlängning (till exempel, profil-p29d ... wsf).
Läsa: Vad ska man göra efter en Ransomware-attack på din Windows-dator?
Så här dekrypterar du Locky Ransomware
Från och med nu finns det inga dekrypter tillgängliga för Locky ransomware. En Decryptor från Emsisoft kan dock användas för att dekryptera filer krypterade av AutoLocky, en annan ransomware som också byter namn på filer till .locky-tillägget. AutoLocky använder skriptspråk AutoI och försöker efterlikna den komplexa och sofistikerade Locky ransomware. Du kan se den fullständiga listan över tillgängliga ransomware-dekrypteringsverktyg här.
Källor och krediter: Microsoft | BleepingComputer | PCRisk.