Ransomware

Locky Ransomware är dödligt! Här är allt du borde veta om detta virus.

Locky Ransomware är dödligt! Här är allt du borde veta om detta virus.

Locky är namnet på en Ransomware som har utvecklats sent, tack vare den konstanta algoritmuppgraderingen från dess författare. Locky, som föreslås av sitt namn, byter namn på alla viktiga filer på den infekterade datorn och ger dem en förlängning .lockig och kräver lösen för dekrypteringsnycklarna.

Locky ransomware - Evolution

Ransomware har vuxit i en alarmerande takt 2016. Den använder Email & Social Engineering för att komma in i dina datorsystem. De flesta e-postmeddelanden med skadliga dokument bifogade den populära ransomwarestammen Locky. Bland de miljarder meddelanden som använde skadliga dokumentbilagor innehöll cirka 97% Locky ransomware, vilket är en alarmerande 64% ökning från första kvartalet 2016 när den först upptäcktes.

De Locky ransomware upptäcktes först i februari 2016 och skickades enligt uppgift till en halv miljon användare. Locky kom i rampljuset när Hollywood Presbyterian Medical Center i februari i år betalade en $ 17.000 Bitcoin lösen för dekrypteringsnyckeln för patientdata. Locky infekterade sjukhusdata via en e-postbilaga förklädd till en Microsoft Word-faktura.

Sedan februari har Locky kedjat sina förlängningar i ett försök att lura offer att de har smittats av en annan Ransomware. Locky började ursprungligen byta namn på de krypterade filerna till .lockig och när sommaren anlände utvecklades den till .zepto som har använts i flera kampanjer sedan dess.

Senast hört, krypterar Locky nu filer med .ODIN försök att förvirra användare att det faktiskt är Odins ransomware.

Locky Ransomware

Locky ransomware sprids huvudsakligen via skräppostkampanjer som drivs av angriparna. Dessa skräppostmeddelanden har mestadels .doc-filer som bilagor som innehåller krypterad text som verkar vara makron.

En typisk e-post som används i Locky-ransomwaredistribution kan vara en faktura som till exempel fångar de flesta användarnas uppmärksamhet,

E-postämne kan vara - “ATTN: Faktura P-12345678”, infekterad bilaga - “faktura_P-12345678.dok”(Innehåller makron som laddar ner och installerar Locky ransomware på datorer):”

Och e-postkropp - “Kära person, se bifogad faktura (Microsoft Word-dokument) och betala betalning enligt de villkor som anges längst ner på fakturan. Låt oss veta om du har några frågor. Vi uppskattar ditt företag!”

När användaren har aktiverat makroinställningar i Word-programmet laddas en körbar fil som egentligen är ransomware ned på datorn. Därefter krypteras olika filer på offrets PC av ransomware vilket ger dem unika kombinationer av 16 bokstäver - siffror med .Skit, .thor, .lockig, .zepto eller .odin filtillägg. Alla filer krypteras med RSA-2048 och AES-1024 algoritmer och kräver en privat nyckel lagrad på fjärrservrarna som styrs av cyberbrottslingar för dekryptering.

När filerna är krypterade genererar Locky ytterligare .Text och _HJÄLP_instruktioner.html fil i varje mapp som innehåller de krypterade filerna. Denna textfil innehåller ett meddelande (som visas nedan) som informerar användare om krypteringen.

Det anges vidare att filer endast kan dekrypteras med hjälp av en dekrypterare som utvecklats av cyberbrottslingar och kostar .5 BitCoin. För att få tillbaka filerna ombeds därför offret att installera Tor-webbläsaren och följa en länk i textfilerna / bakgrundsbilden. Webbplatsen innehåller instruktioner för att göra betalningen.

Det finns ingen garanti för att även efter att betalningsoffer filerna kommer att dekrypteras. Men vanligtvis för att skydda sina "rykte" ransomware författare brukar hålla sig till sin del av fyndet.

Locky Ransomware byter från .wsf till .LNK-tillägg

Lägg upp dess utveckling i år i februari; Locky ransomware-infektioner har gradvis minskat med mindre upptäckter av Nemucod, som Locky använder för att infektera datorer. (Nemucod är en .wsf-filen som finns i .zip-bilagor i skräppost). Som Microsoft rapporterar har dock Locky-författare ändrat bilagan från .wsf-filer till genvägsfiler (.LNK-tillägg) som innehåller PowerShell-kommandon för att ladda ner och köra Locky.

Ett exempel på skräppostmeddelandet nedan visar att den är gjord för att få omedelbar uppmärksamhet från användarna. Det skickas med stor vikt och med slumpmässiga tecken i ämnesraden. E-postadressen är tom.

Spam-e-postmeddelandet heter vanligtvis när Bill kommer med en .dragkedja, som innehåller .LNK-filer. I öppnandet av .zip-bifogning, användare utlöser infektionskedjan. Detta hot upptäcks som TrojanDownloader: PowerShell / Ploprolo.A. När PowerShell-skriptet körs, laddas det ner och körs Locky i en tillfällig mapp som slutför infektionskedjan.

Filtyper som är inriktade på Locky Ransomware

Nedan visas filtyperna som Locky ransomware riktar sig till.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .råtta, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grå, .grå, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .krypa, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bukt, .Bank, .backupdb, .säkerhetskopiering, .tillbaka, .awg, .apj, .ait, .agdl, .annonser, .adb, .acr, .ach, .accdt, .accdr, .ansluta, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .logga, .hpp, .hdd, .grupper, .flvv, .edb, .detta, .dat, .cmt, .soptunna, .aiff, .xlk, .bunt, .tlg, .säga, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .klappa, .olja, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blandning, .bkp, .adp, .spela teater, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .punkt, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .spara, .säker, .pwm, .sidor, .obj, .mlb, .mbx, .belyst, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .konfigurera, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .RTF, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .dok, .dbx, .Kontakt, .mitten, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .plånbok, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .förfalska, .das, .d3dbsp, .bsa, .bik, .tillgång, .apk, .gpg, .aes, .BÅGE, .PAQ, .tjära.bz2, .tbk, .bak, .tjära, .tgz, .rar, .blixtlås, .djv, .djvu, .svg, .bmp, .png, .gif, .rå, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .fladdermus, .klass, .burk, .java, .asp, .brd, .sch, .dch, .dopp, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .kvm, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .låg6, .lägga, .ms11 (säkerhetskopia), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pott, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .st, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .PUNKT, .max, .xml, .Text, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.

Hur man förhindrar Locky Ransomware-attack

Locky är ett farligt virus som har ett allvarligt hot mot din dator. Det rekommenderas att du följer dessa instruktioner för att förhindra ransomware och undvika att smittas.

  1. Ha alltid en anti-malware programvara och en anti-ransomware programvara som skyddar din dator och uppdatera den regelbundet.
  2. Uppdatera ditt Windows-operativsystem och resten av din programvara uppdaterad för att mildra möjlig mjukvaruutnyttjande.
  3. Säkerhetskopiera dina viktiga filer regelbundet. Det är ett bra alternativ att spara dem offline än på molnlagring eftersom virus också kan nå dit
  4. Inaktivera inläsning av makron i Office-program. Att öppna en infekterad Word-dokumentfil kan visa sig vara riskabelt!
  5. Öppna inte e-post i blinda e-postavsnitten "Skräppost" eller "Skräp". Detta kan lura dig att öppna ett e-postmeddelande som innehåller skadlig kod. Tänk innan du klickar på webblänkar på webbplatser eller e-postmeddelanden eller laddar ner e-postbilagor från avsändare som du inte känner till. Klicka eller öppna inte sådana bilagor:
    1. Filer med .LNK-tillägg
    2. Filer med.wsf-förlängning
    3. Filer med dubbelpunktsförlängning (till exempel profil-p29d ... wsf).

Läsa: Vad ska jag göra efter en Ransomware-attack på din Windows-dator?

Hur man dekrypterar Locky Ransomware

Från och med nu finns det inga dekrypterare tillgängliga för Locky ransomware. En Decryptor från Emsisoft kan dock användas för att dekryptera filer krypterade av AutoLocky, en annan ransomware som också byter namn på filer till .låsig förlängning. AutoLocky använder skriptspråk AutoI och försöker efterlikna den komplexa och sofistikerade Locky ransomware. Du kan se den fullständiga listan över tillgängliga ransomware-dekrypteringsverktyg här.

Källor och poäng: Microsoft | BleepingComputer | PCRisk.

Mus Mellan musknappen fungerar inte i Windows 10
Mellan musknappen fungerar inte i Windows 10
De mittknappen hjälper dig att bläddra igenom långa webbsidor och skärmar med mycket data. Om det slutar, kommer du sluta använda tangentbordet för at...
Mus Hur man ändrar vänster och höger musknapp på Windows 10 PC
Hur man ändrar vänster och höger musknapp på Windows 10 PC
Det är en hel norm att alla datormusenheter är ergonomiskt utformade för högerhänta användare. Men det finns musenheter tillgängliga som är speciellt ...
Mus Emulera musklick genom att sväva med Clickless Mouse i Windows 10
Emulera musklick genom att sväva med Clickless Mouse i Windows 10
Att använda en mus eller tangentbord i fel hållning av överdriven användning kan resultera i många hälsoproblem, inklusive stam, karpaltunnelsyndrom o...