Locky Ransomware смертельно! Ось все, що вам слід знати про цей вірус.

Locky це назва а вимагачів що розвивається пізно, завдяки постійному вдосконаленню алгоритму його авторами. Locky, як пропонується його ім'ям, перейменовує всі важливі файли на зараженому комп'ютері, надаючи їм розширення заблокований і вимагає викупу для ключів розшифровки.

Locky ransomware - Evolution

Ransomware зросла з тривожною швидкістю в 2016. Він використовує Email & Social Engineering для введення ваших комп'ютерних систем. Більшість електронних листів з підключеними шкідливими документами містять популярний штам "Ransomware Locky". Серед мільярдів повідомлень, що використовували шкідливі додатки для документів, близько 97% містять функцію Locky ransomware, це тривожний 64% збільшення від Q1 2016, коли воно було вперше знайдено.

повне г, повне г,, показали, від, номер, XNUMX Locky ransomware був вперше виявлений у лютому 2016 і, як повідомляється, був відправлений півмільйонам користувачів. Локь підійшов до зони уваги, коли в лютому цього року Голлівудський пресвітеріанський медичний центр заплатив $ 17,000 Bitcoin викуп для ключа дешифрування даних пацієнта. Локі інфіковані дані лікарні через вкладення електронної пошти, замасковане як рахунок-фактура Microsoft Word.

З лютого Локкі поширює свої розширення, щоб обдурити жертви, що вони були інфіковані іншим Ransomware. Локі почав спочатку перейменовувати зашифровані файли на заблокований і до того часу, коли прийшло літо, він перетворився на .Зепто розширення, яке було використано в кількох кампаніях.

Нарешті, Locky тепер шифрує файли з .ODIN розширення, намагаючись заплутати користувачів, що це насправді є вигідною програмою Odin.

Locky Ransomware

Locky ransomware в основному розповсюджується через кампанії електронної пошти спаму, якими керують хакери. Ці спам-повідомлення переважно містять .doc файли як вкладення які містять текст, що макрос.

Типовий електронний лист, який використовується в розподілі Locky ransomware, може складатися з рахунку-фактури, що привертає більшу увагу користувача. Наприклад,

Тема електронної пошти може бути - "ATTN: рахунок-фактура P-12345678", інфіковане вкладення - "invoice_P-12345678.doc"(Містить макроси, які завантажують та встановлюють Locky ransomware на комп'ютерах):"

І Електронна адреса тіла - "Шановний, будь ласка, перегляньте прикріплений рахунок-фактуру (документ Microsoft Word) і здійсніть платіж відповідно до умов, зазначених у нижній частині рахунку-фактури. Дайте нам знати, якщо у вас є будь-які питання. Ми дуже цінуємо ваш бізнес! "

locky ransomware

Після того, як користувач встановить параметри макросів у програмі Word, виконуваний файл, який насправді вивантажується, завантажується на ПК. Після цього різні файли на комп'ютері жертви зашифруються за допомогою засобу видалення, що надає їм унікальні імена комбінацій 16 із розширеннями файлів .shit, .thor, .locky, .zepto або .odin. Усі файли шифруються за допомогою RSA-2048 і AES-1024 алгоритми і вимагають приватного ключа, що зберігається на віддалених серверах, контрольованих кібер-злочинцями для розшифровки.

Коли файли зашифровані, Locky генерує додатковий . Txt і _HELP_instructions.html файл у кожній папці, що містить зашифровані файли. Цей текстовий файл містить повідомлення (як показано нижче), яке інформує користувачів про шифрування.

locky ransomware

Він також стверджує, що файли можуть бути розшифровані лише за допомогою дешифратора, розробленого кібер-злочинцями і вартістю .5 BitCoin. Отже, щоб отримати файли назад, жертві пропонується встановити Tor браузер і перейдіть за посиланням, наведеним у текстових файлах / шпалерах. Веб-сайт містить інструкції щодо здійснення платежу.

locky ransomware

Немає ніякої гарантії, що навіть після внесення файлів жертви будуть розшифровані. Але, як правило, для захисту своєї "репутації" автори винаходу зазвичай дотримуються своєї частини угоди.

Locky Ransomware змінюється з .wsf на .LNK розширення

Опублікуйте свою еволюцію цього року у лютому; Захищені випадкові інфекції поступово знижуються з меншими виявленнями Nemucod, який Locky використовує для зараження комп'ютерів. (Nemucod - це файл .wsf, який міститься в вкладеннях .zip у електронному вигляді спаму). Однак, як повідомляє Microsoft, автори Locky змінили вкладення з .wsf файли до ярлик файлів (Розширення LNK), які містять команди PowerShell для завантаження та запуску Locky.

Приклад спаму, наведеного нижче, показує, що він спрямований на залучення негайної уваги користувачів. Він надсилається з великою важливістю та випадковими символами в темі рядка. Корпус електронної пошти порожній.

реклама

^

Locky Ransomware

Електронний тиск спаму зазвичай називається, коли Біл приходить із вкладенням .zip, який містить файли .LNK. Відкриваючи вкладення .zip, користувачі запускають ланцюг зараження. Ця загроза виявлена ​​як TrojanDownloader: PowerShell / Ploprolo.A. Коли сценарій PowerShell успішно працює, він завантажує та виконує Locky в тимчасовій папці, яка завершує ланцюг інфікування.

Типи файлів, націлені Locky Ransomware

Нижче наведено типи файлів, орієнтованих на Locky ransomware.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl , .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf,. nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gry, .fhd, .ffd, .exf, .erf, .erbsql, .eml , .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw,. cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb , .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .групи, .flvv, .edb, .dit, .dat, .cmt, .bin,. aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat,. масло, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps , .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb,. mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, ​​.rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma , .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx,. кошик, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip , .vbs, .asm, .pas , .cpp, .php, .ldf, .mdf, .ibd, .my, .myd, .frm, .odb, .dbf, .mdb, .sql, .sQLITEDb, .sqlitexnumx, .pst, .onetoc3,. asc, .lay2, .lay, .ms6 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx , .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm,. xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .csv, .ot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott, .odt, .doc, .pem, .csr, .crt , .ke.

Як запобігти атаці Locky Ransomware

Locky - це небезпечний вірус, який серйозно загрожує вашому ПК. Рекомендується дотримуватися цих інструкцій запобігти викупу і уникнути зараження.

  1. Завжди маєте програмне забезпечення проти шкідливих програм і програмне забезпечення проти рансомарів захистити свій ПК і регулярно його оновлювати.
  2. Оновіть свою ОС Windows і решта твоїх програмне забезпечення сучасне для пом'якшення можливих програмних розробок.
  3. Резервне копіювання важливих файлів регулярно Це хороший варіант, щоб вони зберігалися в режимі офлайн, ніж у хмарному сховищі, оскільки вірус може також потрапити туди
  4. Вимкнути завантаження макросів в програмах Office. Відкриття а Заражений файл документа Word може виявитися ризикованим!
  5. Не відкривайте сліпо відкрите повідомлення в розділах електронної пошти "Спам" чи "Небажане". Це може змусити вас відкрити електронне повідомлення, що містить шкідливе програмне забезпечення. Подумайте раніше натискаючи веб-посилання на веб-сайтах або електронні листи або завантаження вкладень електронної пошти від відправників, яких ви не знаєте. Не натискайте та не відкривайте такі вкладення:
    1. Файли із розширенням .LNK
    2. Файли з розширенням .wsf
    3. Файли з розширенням подвійного краю (наприклад, profile-p29d..wsf).

зчитування: Що робити після атаки Ransomware на комп'ютері з ОС Windows?

Як розшифрувати Locky Ransomware

На даний момент відсутні дешифратори для Locky Ransomware. Проте, Decryptor від Emsisoft може бути використаний для розшифровки файлів, зашифрованих або AUTOLOCK, інший ransomware, який також перейменовує файли на .locky розширення. AutoLocky використовує мову сценаріїв AutoI і намагається імітувати складний та витончений Locky ransomware. Ви можете побачити повний список доступних інструменти дешифратора ransomware тут.

Джерела та кредити: Microsoft | BleepingComputer | PCRisk.

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.