Locky Ransomware er dødbringende! Her er alt, hvad du bør vide om denne virus.

Locky er navnet på en Ransomware, der har udviklet sig sent, takket være den konstante algoritmopgradering af dens forfattere. Locky, som foreslået af navnet, omdøber alle vigtige filer på den inficerede pc, hvilket giver dem en forlængelse.locky og kræver løsepenge til dekrypteringsnøglerne.

Ransomware - Evolution

Ransomware er vokset i en alarmerende hastighed i 2016. Det bruger Email & Social Engineering til at komme ind i dine computersystemer. De fleste e-mails med ondsindede dokumenter indeholdt den populære ransomware-stamme Locky. Blandt de milliarder af meddelelser, der brugte ondsindede vedhæftede filer, udgjorde omkring 97% Locky ransomware, hvilket er en alarmerende 64% stigning fra 1. kvartal 2016, da den blev opdaget.

Locky ransomware blev først opdaget i Februar 2016 og blev angiveligt sendt til en halv million brugere. Locky kom i rampelys, da i februar i år betalte Hollywood Presbyterian Medical Center et $ 17.000 Bitcoin løsepenge til dekrypteringsnøglen til patientdata. Locky inficerede hospitalets data via en e-mail vedhæftet fil forklædt som en Microsoft Word-faktura.

Siden februar har Locky kædet sine forlængelser for at bedrage ofre, at de er blevet inficeret af en anden Ransomware. Locky begyndte oprindeligt at omdøbe de krypterede filer til .locky , og da sommeren ankom, udviklede den sig til .zepto udvidelsen, som er blevet brugt i flere kampagner siden.

Sidst hørt Locky er nu krypterende filer med .ODIN udvidelse og forsøger at forvirre brugerne om, at det faktisk er Odin ransomware.

Locky Ransomware

Locky ransomware spredes hovedsageligt via spam e-mail-kampagner, der køres af angriberne. Disse spam e-mails har for det meste .doc-filer som vedhæftede filer , der indeholder forvrengt tekst, der ser ud til at være makroer.

En typisk email, der bruges i Locky ransomware-distribution, kan være en faktura, der fanger de fleste brugeres opmærksomhed.

Email-emne kan være - "ATTN: Faktura P-12345678", inficeret vedhæftning - " faktura_P-12345678.doc " (indeholder makroer, der henter og installerer Locky ransomware på computere): "

Og Email-krop -" Kære, Se venligst vedlagte faktura (Microsoft Word-dokument) og betalingsafgift i henhold til de vilkår, der er anført nederst på fakturaen. Lad os vide, hvis du har spørgsmål. Vi sætter stor pris på din virksomhed! "

Når brugeren har aktiveret makroindstillinger i Word-programmet, bliver en eksekverbar fil, som faktisk er ransomware, downloadet på pc`en. Derefter krypteres forskellige filer på offerets pc med ransomware, der giver dem unikke 16 brev-cifrede kombinationsnavne med .shit , .thor , .locky , .zepto eller .odin filudvidelser. Alle filer krypteres ved hjælp af RSA-2048 og AES-1024 algoritmerne og kræver en privat nøgle, der er gemt på de fjernbetjeninger, der styres af cyberkriminelle til dekryptering.

Når filerne krypteres, skaber Locky en yderligere .txt og _HELP_instructions.html fil i hver mappe, der indeholder de krypterede filer. Denne tekstfil indeholder en meddelelse (som vist nedenfor), der informerer brugere om kryptering.

Det fremgår endvidere, at filer kun kan dekrypteres ved hjælp af en decrypter udviklet af cyberkriminelle og koster.5 BitCoin. For at få filerne tilbage, bliver offeret bedt om at installere Tor-browseren og følge et link, der findes i tekstfiler / tapet. Webstedet indeholder instruktioner til at udbetale betalingen.

Der er ingen garanti for, at selv efter at udbetalingsoffrets filer bliver dekrypteret. Men normalt for at beskytte sit omdømme holder ransomware forfattere normalt deres del af købet.

Locky Ransomware skifter fra.wsf til.LNK udvidelse

Skriv sin udvikling i år i februar; Locky ransomware infektioner er gradvist faldet med mindre detekteringer af Nemucod , som Locky bruger til at inficere computere. (Nemucod er en.wsf fil indeholdt i.zip vedhæftede filer i spam email). Som Microsoft har rapporteret, har Locky-forfattere ændret vedhæftet fil fra .wsf filer til genvejsfiler (.LNK-udvidelse), der indeholder PowerShell-kommandoer for at downloade og køre Locky. Eksempel på spam e-mail nedenfor viser, at det er lavet for at tiltrække øjeblikkelig opmærksomhed fra brugerne. Det sendes med stor betydning og med tilfældige tegn i emnelinjen. E-mailens krop er tom.

Den spam-e-mail, der typisk navngives som Bill, ankommer med en.zip-vedhæftning, som indeholder.LNK-filer. Ved åbning af.zip-vedhæftningen udløser brugerne infektionskæden. Denne trussel opdages som

TrojanDownloader: PowerShell / Ploprolo.A . Når PowerShell-scriptet kører, downloades og udføres Locky i en midlertidig mappe, der fuldender infektionskæden. Filtyper målrettet af Locky Ransomware

Nedenfor er filtyperne målrettet af Locky ransomware.

.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.xx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.da,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.now,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q ko,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit.laccdb,.kwm,.idx,. html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,..abd.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tjære,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF, pps,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (Sikkerhedskopi),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.xx,.px,.pps,.sti,.xi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.xx,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Sådan Locky Ransomware-angreb

Locky er en farlig virus, der har en alvorlig trussel mod din pc. Det anbefales at følge disse instruktioner for at undgå ransomware og undgå at blive smittet.

Har altid en anti-malware-software og en anti-ransomware-software, der beskytter din pc og opdaterer den regelmæssigt.

1. Opdater dit Windows OS og resten af ​​din software up-to-date for at afbøde mulige softwareudnyttelser.
2. Sikkerhedskopier dine vigtige filer regelmæssigt. Det er en god mulighed for at få dem gemt offline, end i en cloud-opbevaring, da virus kan nå der også
3. Deaktiver loading af makroer i Office-programmer. Åbning af en inficeret Word-dokumentfil kan vise sig risikabelt!
4. Åbn ikke blinde mail i `spam` eller `Junk`-e-mail-sektioner. Dette kan narre dig til at åbne en email med malware. Tænk før du klikker på weblinks på websteder eller e-mails eller downloader e-mail vedhæftede filer fra afsendere, som du ikke kender. Klik ikke på eller åbne sådanne vedhæftede filer:
5. Filer med.LNK-udvidelse
1. Filer with.wsf extension
2. Filer med dobbelt punktudvidelse (for eksempel profil-p29d … wsf).
3. Læs

: Hvad skal man gøre efter et Ransomware-angreb på din Windows-computer? Sådan dekrypterer du Locky Ransomware

Fra nu af er der ikke nogen decrypters tilgængelige for Locky ransomware. En Decryptor fra Emsisoft kan dog bruges til at dekryptere filer, der er krypteret af

AutoLocky , en anden ransomware, der også omdøber filer til.locky-udvidelsen. AutoLocky bruger scripting sprog AutoI og forsøger at efterligne det komplekse og sofistikerede Locky ransomware. Du kan se den komplette liste over tilgængelige ransomware-dekrypteringsværktøjer her. Kilder og kreditter

: Microsoft | BleepingComputer | PCRisk.