Ransomware

Locky Ransomware je smrtící! Zde je vše, co byste měli o tomto viru vědět.

Locky Ransomware je smrtící! Zde je vše, co byste měli o tomto viru vědět.

Locky je název Ransomwaru, který se vyvíjel pozdě díky neustálému upgradu algoritmu jeho autory. Locky, jak naznačuje jeho název, přejmenuje všechny důležité soubory na infikovaném počítači a poskytne jim příponu .nešťastný a požaduje výkupné za dešifrovací klíče.

Locky ransomware - evoluce

Ransomware v roce 2016 vzrostl alarmujícím tempem. Ke vstupu do vašich počítačových systémů používá e-mail a sociální inženýrství. Většina e-mailů s připojenými škodlivými dokumenty obsahovala populární kmen ransomwaru Locky. Mezi miliardami zpráv, které používaly přílohy škodlivých dokumentů, přibližně 97% představovalo Locky ransomware, což je alarmující 64% nárůst od 1. čtvrtletí 2016, kdy byl poprvé objeven.

The Locky ransomware byl poprvé zjištěn v únoru 2016 a byl údajně zaslán půl milionu uživatelů. Locky vstoupil do záře reflektorů, když v únoru tohoto roku zaplatilo hollywoodské Presbyterian Medical Center výkupné v hodnotě 17 000 $ bitcoin za dešifrovací klíč pro údaje o pacientech. Locky infikoval data nemocnice prostřednictvím přílohy e-mailu maskovaného jako faktura za Microsoft Word.

Od února Locky spojuje svá rozšíření ve snaze oklamat oběti, že byly infikovány jiným Ransomwarem. Locky začal původně přejmenovávat šifrované soubory na .nešťastný a v době, kdy přišlo léto, se to vyvinulo do .zepto rozšíření, které se od té doby používá ve více kampaních.

Poslední slyšení, Locky nyní šifruje soubory pomocí .ODIN rozšíření, snaží se zmást uživatele, že se ve skutečnosti jedná o Odin ransomware.

Locky Ransomware

Locky ransomware se šíří hlavně prostřednictvím spamových e-mailových kampaní spuštěných útočníky. Tyto nevyžádané e-maily mají většinou .soubory doc jako přílohy které obsahují kódovaný text, který se jeví jako makra.

Typickým e-mailem používaným při distribuci ransomwaru Locky může být faktura, která upoutá pozornost většiny uživatelů, například,

Předmět e-mailu může být - „ATTN: Invoice P-12345678“, infikovaná příloha - “faktura_P-12345678.doc„(Obsahuje makra, která stahují a instalují ransomware Locky do počítačů):“

A tělo e-mailu - „Vážení, přečtěte si přiloženou fakturu (dokument Microsoft Word) a uhraďte platbu podle podmínek uvedených v dolní části faktury. Pokud máte jakékoli dotazy, dejte nám vědět. Velmi si vážíme vaší práce!“

Jakmile uživatel povolí nastavení maker v programu Word, stáhne se na PC spustitelný soubor, který je ve skutečnosti ransomwarem. Poté jsou ransomwarem šifrovány různé soubory na PC oběti, což jim dává jedinečné názvy kombinací 16 písmen a číslic s .hovno, .Thor, .nešťastný, .zepto nebo .odin přípony souborů. Všechny soubory jsou šifrovány pomocí RSA-2048 a AES-1024 algoritmy a pro dešifrování vyžadují soukromý klíč uložený na vzdálených serverech ovládaných počítačovými zločinci.

Jakmile jsou soubory zašifrovány, Locky vygeneruje další .txt a _HELP_instructions.html soubor v každé složce obsahující šifrované soubory. Tento textový soubor obsahuje zprávu (jak je uvedeno níže), která informuje uživatele o šifrování.

Dále uvádí, že soubory lze dešifrovat pouze pomocí dešifrovače vyvinutého kybernetickými zločinci a kalkulace .5 bitcoinů. Z tohoto důvodu je oběť požádána, aby si nainstalovala prohlížeč Tor a následovala odkaz uvedený v textových souborech / tapetách. Web obsahuje pokyny k provedení platby.

Neexistuje žádná záruka, že i po provedení platby budou soubory obětí dešifrovány. Ale obvykle se na ochranu své „pověsti“ autoři ransomwaru obvykle drží své části dohody.

Locky Ransomware přechází z .wsf do .Rozšíření LNK

Zveřejněte jeho vývoj letos v únoru; Locky ransomwarové infekce se postupně snižovaly s menšími detekcemi Nemucod, kterou Locky používá k infikování počítačů. (Nemucod je .soubor wsf obsažený v .přílohy ve spamu). Jak však uvádí Microsoft, autoři Locky změnili přílohu z .soubory WSF na zkratkové soubory (.LNK), které obsahují příkazy PowerShellu ke stažení a spuštění Locky.

Příklad níže uvedeného nevyžádaného e-mailu ukazuje, že je vytvořen tak, aby přilákal okamžitou pozornost uživatelů. Je odesílán s vysokou důležitostí as náhodnými znaky v řádku předmětu. Tělo e-mailu je prázdné.

Spamový e-mail je obvykle pojmenován jako Bill přichází s .zip, který obsahuje .Soubory LNK. Při otevírání .zip, uživatelé spouští řetězec infekce. Tato hrozba je detekována jako TrojanDownloader: PowerShell / Ploprolo.A. Když se skript PowerShell úspěšně spustí, stáhne a provede Locky v dočasné složce dokončující řetězec infekce.

Typy souborů zaměřené na Locky Ransomware

Níže jsou uvedeny typy souborů, na které je Locky ransomware zaměřen.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .krysa, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .můj, .mrw, .Moneywell, .mny, .mmw, .mfw, .mef, .mdc, .Lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .hej, .Šedá, .šedá, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .CSL, .csh, .crw, .vole, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .záliv, .banka, .backupdb, .záloha, .zadní, .awg, .apj, .ait, .agdl, .reklamy, .příd, .akr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .známka, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .skupiny, .flvv, .edb, .dit, .dat, .cmt, .zásobník, .aiff, .xlk, .svazek, .tlg, .říci, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .olej, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .CDX, .CDF, .směs, .BKP, .adp, .akt, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .tečka, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .Uložit, .bezpečný, .pwm, .stránky, .obj, .mlb, .mbx, .svítí, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .CSV, .css, .konfigurace, .srov, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .vatový tampon, .rtf, .prf, .ppt, .oab, .zpráva, .mapimail, .jnt, .doc, .dbx, .Kontakt, .střední, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .WAV, .qcow2, .vdi, .vmdk, .vmx, .peněženka, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .kovárna, .das, .d3dbsp, .bsa, .kolo, .aktivum, .apk, .gpg, .aes, .OBLOUK, .PAQ, .dehet.bz2, .tbk, .bak, .dehet, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .drsný, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .netopýr, .třída, .sklenice, .Jáva, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .vzestup, .ležel6, .položit, .ms11 (bezpečnostní kopie), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .hrnec, .pps, .sti, .sxi, .otp, .odp, .týden, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .rozdíl, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .TEČKA, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .CSR, .crt, .ke.

Jak zabránit útoku Locky Ransomware

Locky je nebezpečný virus, který vážně ohrožuje váš počítač. Doporučujeme postupovat podle těchto pokynů, abyste zabránili ransomwaru a zabránili infikování.

  1. Vždy mějte nainstalovaný software proti malwaru a softwaru proti ransomwaru, který chrání váš počítač, a pravidelně jej aktualizujte.
  2. Aktualizujte svůj operační systém Windows a zbytek svého softwaru aktuálním způsobem, abyste zmírnili možné zneužití softwaru.
  3. Pravidelně zálohujte důležité soubory. Je dobrou volbou mít je uložené offline než v cloudovém úložišti, protože virus se tam může dostat také
  4. Zakažte načítání maker v aplikacích Office. Otevření infikovaného souboru dokumentu Word se může ukázat jako riskantní!
  5. Neotvírejte slepě poštu v sekci „Spam“ nebo „Nevyžádaná pošta“. To by vás mohlo přimět k otevření e-mailu obsahujícího malware. Než kliknete na webové odkazy na webech nebo e-mailech nebo stáhnete přílohy e-mailů od odesílatelů, které neznáte, zvažte. Neklikejte ani neotvírejte takové přílohy:
    1. Soubory s .Rozšíření LNK
    2. Soubory s.rozšíření wsf
    3. Soubory s příponou se dvěma tečkami (například profile-p29d… wsf).

Číst: Co dělat po útoku Ransomware na váš počítač se systémem Windows?

Jak dešifrovat Locky Ransomware

Od této chvíle nejsou pro ransomware Locky k dispozici žádné dešifrovače. Decryptor od Emsisoft však lze použít k dešifrování souborů šifrovaných pomocí AutoLocky, další ransomware, který také přejmenuje soubory na .výstřední rozšíření. AutoLocky používá skriptovací jazyk AutoI a snaží se napodobit složitý a propracovaný Locky ransomware. Kompletní seznam dostupných nástrojů pro dešifrování ransomwaru naleznete zde.

Zdroje a kredity: Microsoft | BleepingComputer | PCRisk.

Hry Nainstalujte si nejnovější strategickou hru OpenRA na Ubuntu Linux
Nainstalujte si nejnovější strategickou hru OpenRA na Ubuntu Linux
OpenRA je herní engine Libre / Free Real Time Strategy, který obnovuje rané hry Westwood, jako je klasický Command & Conquer: Red Alert. Distribuované...
Hry Nainstalujte si nejnovější Dolphin Emulator pro Gamecube a Wii na Linuxu
Nainstalujte si nejnovější Dolphin Emulator pro Gamecube a Wii na Linuxu
Emulátor Dolphin vám umožní hrát vybrané hry Gamecube a Wii na osobních počítačích se systémem Linux (PC). Jako volně dostupný herní emulátor s otevř...
Hry Jak používat GameConqueror Cheat Engine v Linuxu
Jak používat GameConqueror Cheat Engine v Linuxu
Tento článek popisuje průvodce používáním cheatovacího modulu GameConqueror v systému Linux. Mnoho uživatelů, kteří hrají hry v systému Windows, často...