Ransomware

Locky Ransomware je smrtonosna! Tukaj je vse, kar morate vedeti o tem virusu.

Locky Ransomware je smrtonosna! Tukaj je vse, kar morate vedeti o tem virusu.

Locky je ime Ransomware, ki se je zaradi nenehne nadgradnje algoritmov avtorjev razvijalo pozno. Locky, kot predlaga ime, preimenuje vse pomembne datoteke na okuženem računalniku in jim tako doda končnico .locky in zahteva odkupnino za ključe za dešifriranje.

Locky ransomware - Evolution

Ransomware je v letu 2016 narasel z zaskrbljujočo hitrostjo. Za vstop v računalniške sisteme uporablja e-pošto in socialni inženiring. Večina e-poštnih sporočil s priloženimi zlonamernimi dokumenti je vsebovala priljubljeni program za odkupnino Locky. Med milijardami sporočil, ki so uporabljale zlonamerne priloge dokumentov, je bilo približno 97% predstavljenih z odkupno programsko opremo Locky, kar je zaskrbljujoče 64-odstotno povečanje v primerjavi s prvim četrtletjem 2016, ko je bila prvič odkrita.

The Locky ransomware je bil prvič zaznan februarja 2016 in naj bi bil poslan pol milijona uporabnikom. Locky je prišel v središče pozornosti, ko je februarja letos hollywoodski prezbiterijanski medicinski center plačal 17.000 USD Bitcoin odkupnino za ključ za dešifriranje podatkov o pacientih. Podatki bolnišnice Locky okuženi prek e-poštne priloge, preoblečene v račun Microsoft Word.

Od februarja Locky povezuje svoje razširitve, da bi prevaral žrtve, da so bile okužene z drugo Ransomware. Locky je začel prvotno preimenovati šifrirane datoteke v .locky in ko je prišlo poletje, se je razvilo v .zepto razširitev, ki se od takrat uporablja v več oglaševalskih akcijah.

Nazadnje slišan, Locky zdaj šifrira datoteke z .ODIN razširitev, ki poskuša uporabnike zmediti, da gre dejansko za odškodninsko programsko opremo Odin.

Locky Ransomware

Locky odkupljiva programska oprema se večinoma širi prek oglaševalskih akcij, ki jih vodijo napadalci. Ta e-poštna sporočila imajo večinoma .doc datoteke kot priloge ki vsebujejo premešana besedila, ki so videti kot makri.

Običajno e-poštno sporočilo, ki se uporablja pri distribuciji odkupne programske opreme Locky, je lahko na primer račun, ki pritegne največ uporabnikove pozornosti,

Tema e-pošte bi lahko bila - “ATTN: Račun P-12345678”, okužena priloga - “račun_P-12345678.doc"(Vsebuje makre, ki prenašajo in namestijo izsiljevalsko programsko opremo Locky v računalnike):"

In telo e-pošte - »Spoštovani, glejte priloženi račun (Microsoft Wordov dokument) in izvedite plačilo v skladu s pogoji, navedenimi na dnu računa. Če imate kakršna koli vprašanja, nam sporočite. Zelo cenimo vaše podjetje!"

Ko uporabnik v programu Word omogoči nastavitve makra, se v računalnik prenese izvršljiva datoteka, ki je pravzaprav odkupna programska oprema. Nato ransomware šifrira različne datoteke na žrtvinem osebnem računalniku in jim daje unikatna 16-mestna kombinacijska imena z .sranje, .thor, .locky, .zepto ali .odin končnice datotek. Vse datoteke so šifrirane z RSA-2048 in AES-1024 algoritmi in za dešifriranje zahtevajo zasebni ključ, shranjen na oddaljenih strežnikih, ki jih nadzirajo kiber kriminalci.

Ko so datoteke šifrirane, Locky ustvari dodatno .txt in _HELP_instructions.html v vsaki mapi, ki vsebuje šifrirane datoteke. Ta besedilna datoteka vsebuje sporočilo (kot je prikazano spodaj), ki obvešča uporabnike o šifriranju.

Nadalje navaja, da je datoteke mogoče dešifrirati le z uporabo dešifrirja, ki so ga razvili kiber kriminalci in stane .5 BitCoin. Zato je treba žrtev, da dobi datoteke nazaj, namestiti brskalnik Tor in slediti povezavi v besedilnih datotekah / ozadju. Spletno mesto vsebuje navodila za izvedbo plačila.

Nobenega zagotovila ni, da se bodo datoteke žrtve tudi po izvedbi plačila dešifrirale. Toda praviloma se avtorji ransomware za zaščito svojega "ugleda" držijo svojega dela kupčije.

Locky Ransomware se spreminja iz .wsf do .Podaljšanje LNK

Objavite njegov razvoj letos februarja; Locky ransomware okužbe se postopoma zmanjšujejo z manj odkritja Nemucod, ki jih Locky uporablja za okužbo računalnikov. (Nemucod je .wsf datoteka v .zip priloge v e-pošti). Kot poroča Microsoft, pa so avtorji Locky spremenili prilogo iz .wsf datotek do bližnjic (.LNK), ki vsebujejo ukaze PowerShell za prenos in zagon Locky.

Primer spodnjega e-poštnega sporočila kaže, da je namenjen tako, da takoj pritegne pozornost uporabnikov. Pošlje se zelo pomembno in z naključnimi znaki v zadevi. Telo e-poštnega sporočila je prazno.

E-poštno sporočilo se običajno imenuje, ko Bill prispe z .zip, ki vsebuje .Datoteke LNK. Pri odpiranju .zip, uporabniki sprožijo okužbeno verigo. Ta grožnja je zaznana kot TrojanDownloader: PowerShell / Ploprolo.A. Ko se skript PowerShell uspešno zažene, prenese in izvrši Locky v začasni mapi, ki zaključuje okužbeno verigo.

Vrste datotek, na katere cilja Locky Ransomware

Spodaj so vrste datotek, na katere cilja Lons ransomware.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .podgana, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .drugo, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .denarnica, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .siva, .siva, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .krava, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .zaliv, .banka, .backupdb, .rezerva, .nazaj, .awg, .apj, .ait, .agdl, .oglasi, .adb, .akr, .ach, .skladno, .v skladu s, .skladno, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .skupin, .flvv, .edb, .dit, .dat, .cmt, .zabojnik, .aiff, .xlk, .vata, .tlg, .recimo, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .olje, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .oblikovanje, .ddd, .dcr, .dac, .cdx, .cdf, .mešanica, .bkp, .adp, .deluje, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .pika, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .shrani, .varno, .pwm, .strani, .obj, .mlb, .mbx, .prižgana, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .konfig, .prim, .cer, .asx, .aspx, .aoi, .v skladu s, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .sporočilo, .mapimail, .jnt, .doc, .dbx, .stik, .sredina, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .denarnico, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .kovati, .das, .d3dbsp, .bsa, .bik, .sredstva, .apk, .gpg, .aes, .LOK, .PAQ, .katran.bz2, .tbk, .bak, .katran, .tgz, .rar, .zadrgo, .djv, .djvu, .svg, .bmp, .png, .gif, .surov, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .netopir, .razred, .kozarec, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MOJ, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .ležati, .ms11 (varnostna kopija), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .lonec, .pps, .sti, .sxi, .otp, .odp, .tednov, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .TOČKA, .maks, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.

Kako preprečiti napad Locky Ransomware

Locky je nevaren virus, ki resno ogroža vaš računalnik. Priporočljivo je, da upoštevate ta navodila, da preprečite ransomware in se ne okužite.

  1. Vedno imejte protivirusno in protivirusno programsko opremo, ki ščiti vaš računalnik, in ga redno posodabljajte.
  2. Posodobite svoj operacijski sistem Windows in ostalo programsko opremo, da ublažite morebitne izkoriščanje programske opreme.
  3. Redno varnostno kopirajte pomembne datoteke. Dobra možnost je, da jih shranite brez povezave kot v shrambo v oblaku, saj virus lahko doseže tudi tam
  4. Onemogočite nalaganje makrov v Officeovih programih. Odpiranje okužene Wordove datoteke z dokumenti bi se lahko izkazalo za tvegano!
  5. Ne odpirajte slepo pošte v e-poštnih razdelkih »Neželena pošta« ali »Neželena pošta«. To bi vas lahko prevaralo, da bi odprli e-poštno sporočilo z zlonamerno programsko opremo. Razmislite, preden kliknete spletne povezave na spletnih mestih ali e-poštnih sporočilih ali naložite e-poštne priloge pošiljateljev, ki jih ne poznate. Ne kliknite in ne odpirajte takih prilog:
    1. Datoteke z .Podaljšanje LNK
    2. Datoteke z.razširitev wsf
    3. Datoteke z razširitvijo z dvema pikama (na primer profile-p29d… wsf).

Preberite: Kaj storiti po napadu Ransomware na računalnik z operacijskim sistemom Windows?

Kako dešifrirati Locky Ransomware

Za zdaj ni na voljo nobenega dešifrirnika za ransomware Locky. Vendar pa lahko dešifriranje iz Emsisofta uporabite za dešifriranje datotek, šifriranih z AutoLocky, drugo odkupno programsko opremo, ki prav tako preimenuje datoteke v .locky podaljšek. AutoLocky uporablja skriptni jezik AutoI in poskuša posnemati zapleteno in dovršeno izsiljevalsko programsko opremo Locky. Celoten seznam razpoložljivih orodij za dešifriranje odškodninskih programov si lahko ogledate tukaj.

Viri in krediti: Microsoft | BleepingComputer | PCRisk.

Miška Kako uporabiti Xdotool za spodbujanje klikov in pritiskov mišk v Linuxu
Kako uporabiti Xdotool za spodbujanje klikov in pritiskov mišk v Linuxu
Xdotool je brezplačno in odprtokodno orodje za ukazno vrstico, ki simulira klike in pritiske tipk. Ta članek bo zajemal kratek vodnik o uporabi xdotoo...
Miška Najboljših 5 izdelkov z ergonomsko računalniško miško za Linux
Najboljših 5 izdelkov z ergonomsko računalniško miško za Linux
Ali dolgotrajna uporaba računalnika povzroča bolečine v zapestju ali prstih? Ali imate trde sklepe in bi se morali neprestano tresti z rokami? Ali čut...
Miška How to Change Mouse and Touchpad Settings Using Xinput in Linux
How to Change Mouse and Touchpad Settings Using Xinput in Linux
Most Linux distributions ship with “libinput” library by default to handle input events on a system. It can process input events on both Wayland and X...