Ransomware

Locky Ransomware je smrtonosan! Ovdje je sve što biste trebali znati o ovom virusu.

Locky Ransomware je smrtonosan! Ovdje je sve što biste trebali znati o ovom virusu.

Locky naziv je Ransomware-a koji se kasno razvijao zahvaljujući stalnoj nadogradnji algoritama njegovih autora. Locky, kako sugerira njegovo ime, preimenuje sve važne datoteke na zaraženom računalu dajući im ekstenziju .laki i traži otkupninu za ključeve za dešifriranje.

Locky ransomware - evolucija

Ransomware je 2016. narastao alarmantnom brzinom. Koristi e-poštu i socijalni inženjering za ulazak u vaše računalne sustave. Većina e-poruka s priloženim zlonamjernim dokumentima sadržavala je popularni ransomware soj Locky. Među milijardama poruka koje su koristile zlonamjerne privitke dokumenata, oko 97% sadržavalo je Locky ransomware, što je alarmantno povećanje od 64% u odnosu na prvo tromjesečje 2016. kada je prvi put otkriven.

The Locky ransomware prvi je put otkriven u veljači 2016. godine, a navodno je poslan pola milijuna korisnika. Locky je došao u žižu kada je u veljači ove godine hollywoodski prezbiterijanski medicinski centar platio 17.000 USD Bitcoin otkupnine za ključ za dešifriranje podataka o pacijentima. Podaci bolnice Locky zaraženi su putem privitka e-pošte prerušenog u fakturu Microsoft Worda.

Od veljače, Locky lancuje svoje produžetke u pokušaju da prevari žrtve da su zaražene drugim Ransomwareom. Locky je počeo izvorno preimenovati šifrirane datoteke u .laki a dolaskom ljeta evoluiralo je u .zepto proširenje, koje se od tada koristi u više kampanja.

Posljednji put čuo, Locky sada šifrira datoteke s .ODIN proširenje, pokušavajući zbuniti korisnike da je zapravo riječ o Odin ransomwareu.

Locky Ransomware

Locky ransomware uglavnom se širi putem kampanja neželjene pošte koje vode napadači. Ovi e-mailovi uglavnom imaju .doc datoteke kao privitke koji sadrže kodirani tekst koji se čini makronaredbama.

Uobičajena e-pošta koja se koristi u distribuciji ransomwarea Locky može biti faktura koja plijeni većinu korisnika, na primjer,

Predmet e-pošte mogao bi biti - “ATTN: Račun P-12345678”, zaražena privrženost - “faktura_P-12345678.doc"(Sadrži makronaredbe koje preuzimaju i instaliraju Locky ransomware na računala):"

I tijelo e-pošte - „Poštovani, pogledajte priloženu fakturu (Microsoft Word Document) i izvršite uplatu prema uvjetima navedenim na dnu računa. Javite nam ako imate pitanja. Iznimno cijenimo vaše poslovanje!"

Nakon što korisnik omogući postavke makronaredbi u programu Word, izvršna datoteka koja je zapravo ransomware preuzima se na računalo. Nakon toga, razne datoteke na žrtvinom računalu šifriraju ransomware dajući im jedinstvena 16-znamenkasta kombinacijska imena s .sranje, .thor, .laki, .zepto ili .Odin nastavci datoteka. Sve su datoteke šifrirane pomoću RSA-2048 i AES-1024 algoritmi i za dešifriranje zahtijevaju privatni ključ pohranjen na udaljenim poslužiteljima pod nadzorom cyber kriminalaca.

Nakon što su datoteke šifrirane, Locky generira dodatni .txt i _HELP_instructions.html datoteku u svakoj mapi koja sadrži šifrirane datoteke. Ova tekstualna datoteka sadrži poruku (kao što je prikazano u nastavku) koja obavještava korisnike o šifriranju.

Dalje se navodi da se datoteke mogu dešifrirati samo pomoću dešifrirača koji su razvili cyber kriminalci i koji košta .5 BitCoin. Stoga, da bi se datoteke vratile, žrtva se mora instalirati preglednik Tor i slijediti vezu navedenu u tekstualnim datotekama / pozadini. Web stranica sadrži upute za plaćanje.

Ne postoji jamstvo da će se čak i nakon izvršenja plaćanja datoteke žrtve dešifrirati. No, obično se radi zaštite svoje 'reputacije' autori ransomwarea obično drže svog dijela pogodbe.

Locky Ransomware mijenja se iz .wsf do .LNK produžetak

Objavite njegov razvoj ove godine u veljači; Locky ransomware infekcije postupno se smanjuju uz manje otkrivanja Nemucod, koje Locky koristi za zarazu računala. (Nemucod je .wsf datoteka sadržana u .zip privitke u e-pošti). Međutim, kako izvještava Microsoft, autori Lockyja promijenili su privitak iz .wsf datoteke do datoteke prečaca (.LNK proširenje) koje sadrže PowerShell naredbe za preuzimanje i pokretanje Locky.

Primjer neželjene e-pošte u nastavku pokazuje da je stvoren kako bi privukao neposrednu pažnju korisnika. Šalje se vrlo važno i sa slučajnim znakovima u retku predmeta. Tijelo e-pošte je prazno.

Neželjena pošta obično se naziva kako Bill stiže s .zip privitak koji sadrži .LNK datoteke. U otvaranju .zip, korisnici pokreću lanac zaraze. Ova je prijetnja otkrivena kao TrojanDownloader: PowerShell / Ploprolo.A. Kada se PowerShell skripta uspješno pokrene, preuzima i izvršava Locky u privremenoj mapi koja dovršava lanac zaraze.

Vrste datoteka koje cilja Locky Ransomware

Ispod su vrste datoteka koje cilja Locky ransomware.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .gužva, .rdb, .štakor, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .drugo, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .gosp, .novčanik, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .siva, .siva, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .puzati, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .zaljev, .banka, .backupdb, .sigurnosna kopija, .leđa, .awg, .apj, .ait, .agdl, .oglasi, .adb, .akr, .ach, .prema, .prema, .prilagoditi se, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .zapisnik, .hpp, .HDD, .skupine, .flvv, .edb, .dit, .dat, .cmt, .kanta za smeće, .aiff, .xlk, .vata, .tlg, .reći, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pogladiti, .ulje, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .F F F, .fdb, .dtd, .oblikovati, .ddd, .dcr, .dac, .cdx, .cdf, .mješavina, .bkp, .adp, .djelovati, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .točka, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .uštedjeti, .sef, .pwm, .stranice, .obj, .mlb, .mbx, .upaljeno, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .konfiguracija, .usp, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .poruka, .mapimail, .jnt, .doc, .dbx, .kontakt, .sredinom, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .Florida, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .novčanik, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .kovati, .das, .d3dbsp, .bsa, .bik, .imovina, .apk, .gpg, .aes, .LUK, .PAQ, .katran.bz2, .tbk, .bak, .katran, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .sirovo, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .šišmiš, .razred, .staklenka, .Java, .asp, .brd, .sch, .dch, .umočiti, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .uzlazno, .ležati6, .položiti, .ms11 (sigurnosna kopija), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .lonac, .pps, .sti, .sxi, .otp, .odp, .tjedana, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .točka, .docm, .docx, .TOČKA, .maks, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.

Kako spriječiti napad Locky Ransomware

Locky je opasan virus koji predstavlja ozbiljnu prijetnju vašem računalu. Preporučuje se da slijedite ove upute kako biste spriječili ransomware i izbjegli zarazu.

  1. Uvijek imajte softver protiv zlonamjernog softvera i softver protiv ransomvera koji štite vaše računalo i redovito ga ažurirajte.
  2. Ažurirajte svoj Windows OS i ostatak softvera ažuriranim kako biste ublažili moguće softverske zloupotrebe.
  3. Redovito izrađujte sigurnosne kopije važnih datoteka. Dobra je opcija da se spremaju izvan mreže nego u pohranu u oblaku, jer i virus tamo može doći
  4. Onemogućite učitavanje makronaredbi u programima Office. Otvaranje zaražene datoteke dokumenata programa Word moglo bi se pokazati rizičnim!
  5. Ne otvarajte slijepo poštu u odjeljcima "Neželjena pošta" ili "Neželjena pošta". To bi vas moglo prevariti da otvorite e-poštu koja sadrži zlonamjerni softver. Razmislite prije nego što kliknete web veze na web lokacijama ili e-mailovima ili preuzmete privitke e-pošte od pošiljatelja koje ne poznajete. Nemojte kliktati ili otvarati takve privitke:
    1. Datoteke sa .LNK produžetak
    2. Datoteke sa.wsf produžetak
    3. Datoteke s nastavkom s dvostrukom točkom (na primjer, profile-p29d ... wsf).

Čitati: Što učiniti nakon napada Ransomware na vaše računalo sa sustavom Windows?

Kako dešifrirati Locky Ransomware

Za sada nema dostupnih dešifrera za Locky ransomware. Međutim, Decryptor iz Emsisofta može se koristiti za dešifriranje datoteka šifriranih AutoLocky, još jedan ransomware koji također preimenuje datoteke u .locky produžetak. AutoLocky koristi skriptni jezik AutoI i pokušava oponašati složeni i sofisticirani Locky ransomware. Cjelovit popis dostupnih alata za dešifriranje ransomwarea možete vidjeti ovdje.

Izvori i zasluge: Microsoft | BleepingComputer | PCRisk.

Igre Bitka za Wesnoth 1.13.6 Razvoj objavljen
Bitka za Wesnoth 1.13.6 Razvoj objavljen
Bitka za Wesnoth 1.13.6 objavljeno prošlog mjeseca, šesto je razvojno izdanje u izdanju 1.13.x series i donosi niz poboljšanja, ponajviše korisničkog ...
Igre Kako instalirati League Of Legends na Ubuntu 14.04
Kako instalirati League Of Legends na Ubuntu 14.04
Ako ste ljubitelj League of Legends, ovo je prilika za vas da testirate League of Legends. Imajte na umu da je LOL podržan na PlayOnLinux ako ste kori...
Igre Instalirajte najnoviju strategiju igre OpenRA na Ubuntu Linux
Instalirajte najnoviju strategiju igre OpenRA na Ubuntu Linux
OpenRA je Libre / Free Real Time strateški pokretač igre koji stvara rane Westwoodove igre poput klasične Command & Conquer: Red Alert. Distribuirani ...