Локи е името на Ransomware, който се е развивал късно, благодарение на непрекъснатото усъвършенстване на алгоритъма от неговите автори. Локи, както се предлага от името му, преименува всички важни файлове на заразения компютър, като им дава удължаване .locky и изисква откуп за декрипционните ключове.
Локален ransomware - Еволюция
Ransomware е нараснал с тревожна скорост през 2016 г. Той използва имейл и социално инженерство, за да влезе в компютърните ви системи. Повечето имейли с прикачени злонамерени документи представят популярния щам на ransomware Locky. Сред милиардите съобщения, при които са използвани злонамерени прикачени файлове, около 97% представляват Locky ransomware, което е тревожно 64% увеличение от първото тримесечие на 2016 г., когато е било открито за пръв път.
Най- Локални ransomware бе открита за първи път през февруари 2016 г. и според съобщенията беше изпратена на половин милион потребители. Локи навлезе в светлината на прожекторите, когато през февруари тази година Холивудския пребиерски медицински център плати $ 17,000 Bitcoin откуп за декрипционния ключ за данните за пациентите. Локи заразява данните на Болницата чрез прикачен файл, прикрит като фактура от Microsoft Word.
От февруари, Лок китаризира разширенията си в опит да заблуди жертвите, че са били заразени с друг Ransomware. Локи започна първоначално да преименува кодираните файлове на .locky и до пристигането на лятото тя се превърна в .zepto разширение, което се използва в многобройни кампании оттогава.
На последно място, Локи вече криптира файлове .ODIN разширение, опитвайки се да обърка потребителите, че всъщност е Odin ransomware.
Locky Ransomware
Локалният ransomware се разпространява главно чрез спам имейли, провеждани от нападателите. Тези спам имейли са най-вече .doc файлове като прикачени файлове които съдържат кодиран текст, който се появява като макроси.
Типичен имейл, използван в локалната ransomware разпространение, може да бъде фактура, която привлича вниманието на повечето потребители. Например,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
След като потребителят разреши настройките на макросите в програмата на Word, на компютъра се изтегля изпълним файл, който всъщност е ransomware. След това, различни файлове на компютъра на жертвата са кодирани от ransomware, като им се дават уникални 16-буквени комбинационни имена с .shit, .тор, .locky, .zepto или .odin файловите разширения. Всички файлове се кодират с помощта на RSA-2048 и AES-1024 алгоритми и изискват частен ключ, съхраняван на отдалечените сървъри, контролирани от кибер престъпниците за дешифриране.
След като файловете бъдат кодирани, Locky генерира допълнително .текст и _HELP_instructions.html във всяка папка, съдържаща кодираните файлове. Този текстов файл съдържа съобщение (както е показано по-долу), което информира потребителите за кодирането.
"Locky Ransomware" се променя от.wsf на разширение.LNK
Публикувайте еволюцията си тази година през февруари; Локалните ransomware инфекции постепенно намаляват с по - малки откривания на Nemucod, който Локи използва, за да зарази компютрите. (Nemucod е файл.wsf, съдържащ се в прикачените файлове.zip в спам имейл). Въпреки това, както съобщава Microsoft, авторите на Locky са променили прикачения файл .wsf файлове да се файлове за бърз достъп (.LNK разширение), които съдържат PowerShell команди за изтегляне и стартиране на Locky.
Пример за спам имейл по-долу показва, че е направено, за да привлече незабавно внимание от потребителите. Изпраща се с голямо значение и с произволни знаци в темата. Тялото на имейла е празно.
Спамният имейл обикновено се споменава, когато Бил пристига с прикачен файл.zip, който съдържа файловете.LNK. При отварянето на прикачения файл.zip потребителите задействат веригата за инфектиране. Тази заплаха се открива като TrojanDownloader: PowerShell / Ploprolo.A, Когато скриптът PowerShell успешно се стартира, той изтегля и изпълнява Locky в временна папка, завършваща веригата за инфекции.
Типове файлове, насочени от Locky Ransomware
По-долу са типовете файлове, към които е насочена логиката на Locky ransomware.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Как да предотвратите атаката на Locky Ransomware
Локи е опасен вирус, който има сериозна заплаха за вашия компютър. Препоръчително е да следвате тези инструкции, за да предотвратите ransomware и да избегнете заразяването.
- Винаги разполагайте с анти-злонамерен софтуер и софтуер за борба с ransomware, който защитава вашия компютър и го актуализира редовно.
- Актуализирайте своята операционна система Windows и останалата част от софтуера си, за да смекчите възможните софтуерни възможности.
- Поддържайте редовно важните си файлове. Това е добра опция да ги запазите офлайн, отколкото в облак за съхранение, тъй като вирусът може да достигне и там
- Деактивирайте зареждането на Macros в програмите на Office. Откриването на заразен файл на Word може да се окаже рисковано!
- Не затваряйте слепи по пощата в секцията "Спам" или "Нежелана" електронна поща. Това може да ви подведе, за да отворите имейл, съдържащ злонамерения софтуер. Помислете преди да кликнете върху уеб връзки в уебсайтове или имейли или да изтеглите прикачени файлове от изпращачи, които не знаете. Не кликвайте и не отваряйте такива прикачени файлове:
- Файлове с разширение.LNK
- Файлове с разширение.wsf
- Файлове с разширение с двойна точка (например, профил-p29d..wsf).
Прочети: Какво да направя след атака на Ransomware на вашия компютър с Windows?
Как да дешифрираме Locky Ransomware
Засега няма налични дешифри за локалния ransomware. Въпреки това, Decryptor от Emsisoft може да се използва за дешифриране на файлове, шифровани от AutoLocky, друг ransomware, който също преименува файлове към.locky разширение. AutoLocky използва скриптов език AutoI и се опитва да наподобява сложния и сложен софтуер за локации. Можете да видите пълния списък с наличните инструменти за декриптиране на ransomware тук.
Източници и кредити: Microsoft | Блейп Компютър | PCRisk.