Офис

Locky Ransomware смертельно опасен! Вот все, что вы должны знать об этом вирусе.

The Lock with no Key | Locky Ransomware

The Lock with no Key | Locky Ransomware

Оглавление:

Anonim

Locky - это имя Ransomware, которое развивается поздно, благодаря обновлению постоянного алгоритма его авторами. Locky, как было предложено по его названию, переименовывает все важные файлы на зараженном ПК, предоставляя им расширение.locky и требует выкупа ключей дешифрования.

Locky ransomware - Evolution

Ransomware выросла с угрожающей скоростью в 2016 году. Он использует электронную почту и социальную инженерию для входа в ваши компьютерные системы. Большинство писем с прикрепленными вредоносными документами показывали популярный штамп Locky. Среди миллиардов сообщений, в которых использовались вложения вредоносных документов, около 97% отличались от Ransomware Locky, что вызывает тревогу на 64% по сравнению с первым кварталом 2016 года, когда оно было впервые обнаружено.

Rysomware Locky была впервые обнаружена в Феврале 2016 года и, как сообщается, было отправлено полмиллиона пользователей. Локки пришел в центр внимания, когда в феврале этого года Голливудский пресвитерианский медицинский центр заплатил выкуп за биткойну за 17 000 долларов за ключ дешифрования для данных пациентов. Локки заразил данные больницы через приложение электронной почты, замаскированное под счет Microsoft Word.

С февраля Locky цепочки расширений, чтобы обмануть жертв, что они были заражены другим Ransomware. Сначала Locky начал переименование зашифрованных файлов на .locky , а к лету к нему он превратился в расширение .septo , которое было использовано во многих кампаниях с тех пор.

Последний раз слышал, Locky теперь шифрует файлы с расширением .ODIN , пытаясь запутать пользователей в том, что на самом деле это выкупленная версия Odin.

Locky Ransomware

Выпуски Locky в основном распространяются с помощью спам-кампаний электронной почты, выполняемых злоумышленниками. Эти спам-письма имеют в основном файлы .doc в виде вложений , которые содержат скремблированный текст, представляющий собой макросы.

Типичное электронное письмо, используемое в дистрибутиве Rysomware Locky, может иметь счет-фактуру, которая привлекает наибольшее внимание пользователя. Например,

Тема электронной почты может быть - «ATTN: Invoice P-12345678», зараженное вложение - « invoice_P-12345678.doc » (содержит макросы, которые загружают и устанавливают выкупу Locky на компьютерах): «

И тело электронной почты -« Дорогой кто-то, см. Прилагаемый счет-фактуру (документ Microsoft Word) и оплатите платеж в соответствии с условиями, указанными в нижней части счета-фактуры. Дайте нам знать, если у вас есть какие-либо вопросы. Мы очень ценим ваш бизнес! »

После того как пользователь включит параметры макроса в программе Word, на ПК загружается исполняемый файл, который является фактически выкупом. После этого различные файлы на ПК жертвы зашифровываются вымогателем, давая им уникальные 16-значные имена комбинаций с .shit , .thor , .locky , .zepto или .odin расширения файлов. Все файлы зашифровываются с использованием алгоритмов RSA-2048 и AES-1024 и требуют секретного ключа, хранящегося на удаленных серверах, контролируемых киберпреступниками для дешифрования.

После того, как файлы зашифрованы, Locky генерирует дополнительный файл .txt и _HELP_instructions.html в каждой папке, содержащей зашифрованные файлы. Этот текстовый файл содержит сообщение (как показано ниже), которое информирует пользователей о шифровании.

Далее говорится, что файлы могут быть дешифрованы только с помощью дешифратора, разработанного киберпреступниками и стоимостью 5 битконтейнов. Следовательно, чтобы вернуть файлы, жертве предлагается установить браузер Tor и следовать ссылке, предоставленной в текстовых файлах / обоях. На веб-сайте содержатся инструкции по оплате.

Нет гарантии, что даже после того, как файлы жертвы платежей будут расшифрованы. Но обычно для защиты своих «репутационных» авторов вымогательства обычно придерживаются своей части сделки.

Locky Ransomware меняется с.wsf на расширение.LNK

Опубликуйте свою эволюцию в этом году в феврале; Инфекции Locky ransomware постепенно уменьшались при меньших обнаружениях Nemucod , которые Локки использует для заражения компьютеров. (Nemucod является файлом.wsf, содержащимся в.zip-вложениях в спам-письме). Однако, как сообщает Microsoft, авторы Locky изменили вложение из .wsf файлов в ярлыков (расширение LNK), которые содержат команды PowerShell для загрузки и запуска Locky.

пример спам-сообщения, приведенного ниже, показывает, что он сделан для привлечения немедленного внимания со стороны пользователей. Он отправляется с большим значением и со случайными символами в строке темы. Тело письма пуст.

Спам-адрес электронной почты обычно называется, когда Билл приходит с вложением.zip, которое содержит файлы.LNK. При открытии приложения.zip пользователи запускают цепочку заражения. Эта угроза обнаруживается как TrojanDownloader: PowerShell / Ploprolo.A . Когда сценарий PowerShell успешно запускается, он загружает и выполняет Locky во временной папке, завершающей цепочку заражения.

Типы файлов, предназначенные Locky Ransomware

Ниже приведены типы файлов, предназначенные для Rawomware Locky.

.yuv. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q cow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit.,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi. accdb,.7zip,.xls,.wab, ​​.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tz.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay. ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Как предотвратить атаку Locky Ransomware

Locky - опасный вирус, который обладает серьезной угрозой для вашего ПК. Рекомендуется использовать эти инструкции для предотвращения вымогательства и предотвращения заражения.

  1. Всегда иметь антивирусное программное обеспечение и программное обеспечение для защиты от угроз, защищающее ваш компьютер и регулярно обновляющее его.
  2. Обновите операционную систему Windows и остальную часть вашего программного обеспечения, чтобы смягчить возможные программные эксплойты.
  3. Регулярно создавайте резервные копии важных файлов. Это хороший вариант, чтобы сохранить их в автономном режиме, чем в облачном хранилище, так как вирус также может туда попасть
  4. Отключить загрузку макросов в программах Office. Открытие зараженного файла документов Word может оказаться рискованным!
  5. Не слепо открывать почту в разделах электронной почты «Спам» или «Нежелательная». Это может помочь вам открыть письмо с вредоносным ПО. Подумайте, прежде чем нажимать на веб-ссылки на веб-сайтах или электронной почте или загружать вложения электронной почты от отправителей, которых вы не знаете. Не нажимайте и не открывайте такие вложения:
    1. Файлы с расширением.LNK
    2. Файлы с расширением.wsf
    3. Файлы с расширением двойной точки (например, profile-p29d … wsf).

Прочитать : Что делать после атаки Ransomware на вашем компьютере под управлением Windows?

Как расшифровать Locky Ransomware

На данный момент нет никаких расшифровщиков, доступных для Rawomware Locky. Тем не менее, Decryptor от Emsisoft можно использовать для дешифрования файлов, зашифрованных с помощью AutoLocky , другого вымогательства, которое также переименовывает файлы в расширение.locky. AutoLocky использует язык сценариев AutoI и пытается имитировать сложную и сложную версию ROCKOMOS для Locky. Здесь вы можете увидеть полный список доступных инструментов дешифрования ransomware.

Источники и кредиты : Microsoft | БлефКомпьютер | PCRisk.