„Locky Ransomware“ yra mirtina! Čia yra viskas, ką turėtumėte žinoti apie šį virusą.

Locky yra „Ransomware“ pavadinimas, kuris vystėsi vėlai, nes jo autoriai nuolat atnaujino algoritmus. „Locky“, kaip siūloma pagal pavadinimą, pervardija visus svarbius failus užkrėstame kompiuteryje, suteikiant jiems pratęsimą .rakinamas ir reikalauja išpirkos už iššifravimo raktus.

„Locky“ išpirkos programa - „Evolution“

„Ransomware“ 2016 m. Išaugo nerimą keliančiu greičiu. Ji naudoja el. Pašto ir socialinę inžineriją, kad patektų į kompiuterio sistemas. Daugumoje el. Laiškų su pridėtais kenkėjiškais dokumentais buvo populiarus išpirkos išlaisvintos programos „Locky“ kamienas. Tarp milijardų pranešimų, kuriuose buvo naudojami kenkėjiški dokumentų priedai, apie 97% buvo „Locky“ išpirkos programinė įranga, tai yra nerimą keliantis padidėjimas 64%, palyginti su 2016 m.

The „Locky“ išpirkos programa pirmą kartą buvo aptiktas 2016 m. vasario mėn. ir pranešta, kad jis buvo išsiųstas pusei milijono vartotojų. Locky atsidūrė dėmesio centre, kai šių metų vasarį Holivudo presbiterionų medicinos centras sumokėjo 17 000 USD Bitcoin išpirką už paciento duomenų iššifravimo raktą. Locky užkrėtė ligoninės duomenis naudodamas el. Pašto priedą, užmaskuotą „Microsoft Word“ sąskaita faktūra.

Nuo vasario „Locky“ grandinę plėtė siekdama apgauti aukas, kad jas užkrėtė kita „Ransomware“ programa. Locky iš pradžių pervadino užšifruotus failus į .rakinamas ir atėjus vasarai ji virto .zepto plėtinys, kuris buvo naudojamas keliose kampanijose nuo.

Paskutinį kartą girdėtas, Locky dabar šifruoja failus naudodamas .ODIN plėtinį, bandydamas suklaidinti vartotojus, kad tai iš tikrųjų „Odin“ išpirkos programa.

„Locky Ransomware“

„Locky“ išpirkos programa dažniausiai plinta per užpuolikų vykdomas šlamšto el. Pašto kampanijas. Šie šlamšto laiškai dažniausiai yra .doc failai kaip priedai kuriuose yra užkoduotas tekstas, kuris atrodo kaip makrokomandos.

Tipiškas el. Laiškas, naudojamas platinant „Locky“ išpirkos programą, gali būti sąskaita faktūra, kuri pritraukia daugumos vartotojo dėmesį, pavyzdžiui,

El. Pašto tema gali būti - „ATTN: sąskaita faktūra P-12345678“, užkrėstas priedas - „saskaita_P-12345678.doc“(Yra makrokomandų, kurios atsisiunčia ir įdiegia„ Locky “išpirkos programą kompiuteriuose):“

El. Laiško turinys - „Mielasis, prašau žiūrėti pridėtą sąskaitą faktūrą („ Microsoft Word “dokumentą) ir pervesti mokėjimą pagal sąskaitos faktūros apačioje nurodytus terminus. Praneškite mums, jei turite klausimų. Mes labai vertiname jūsų verslą!“

Kai vartotojas įgalins makrokomandos nustatymus „Word“ programoje, vykdomasis failas, kuris iš tikrųjų yra išpirkos programa, bus atsisiųstas į kompiuterį. Po to įvairios aukos kompiuteryje esančios bylos šifruojamos išpirkos programine įranga suteikiant jiems unikalius 16 raidžių ir skaitmenų derinių pavadinimus su .šūdas, .thor, .rakinamas, .zepto arba .odin failų plėtiniai. Visi failai yra užšifruoti naudojant RSA-2048 ir AES-1024 algoritmų ir norint iššifruoti reikalingas privatus raktas, saugomas nuotoliniuose serveriuose, kuriuos valdo kibernetiniai nusikaltėliai.

Kai failai bus užšifruoti, Locky sukuria papildomą .txt ir _PAGALBA_instrukcijos.HTML failą kiekviename aplanke, kuriame yra užšifruoti failai. Šiame tekstiniame faile yra pranešimas (kaip parodyta žemiau), kuris informuoja vartotojus apie šifravimą.

Be to, jame teigiama, kad failus galima iššifruoti tik naudojant kibernetinių nusikaltėlių sukurtą iššifravimo priemonę, kuri kainuoja .5 „BitCoin“. Taigi, norint atkurti failus, aukos prašoma įdiegti „Tor“ naršyklę ir sekti nuorodą, pateiktą tekstiniuose failuose / ekrano fone. Svetainėje pateikiamos instrukcijos, kaip atlikti mokėjimą.

Nėra jokios garantijos, kad net atlikus mokėjimą aukos bylos bus iššifruotos. Tačiau dažniausiai norėdami apsaugoti „reputaciją“, išpirkos išpirkusios programos autoriai paprastai laikosi savo sandorio dalies.

Locky Ransomware keičiasi iš .wsf į .LNK pratęsimas

Paskelbkite savo evoliuciją šiais metais vasario mėnesį; „Locky“ išpirkos programų infekcijos palaipsniui mažėjo, mažiau aptikus Nemucodas, kurią Locky naudoja kompiuteriams užkrėsti. (Nemucodas yra a .wsf failas yra .pašto siuntimo šlamšto priedus). Tačiau, kaip praneša „Microsoft“, Locky autoriai pakeitė priedą iš .wsf failai į nuorodų failus (.LNK plėtinys), kuriuose yra „PowerShell“ komandos atsisiųsti ir paleisti „Locky“.

Žemiau pateiktas šlamšto pavyzdys rodo, kad jis sukurtas siekiant nedelsiant pritraukti vartotojų dėmesį. Jis siunčiamas labai svarbu ir su atsitiktiniais simboliais temos eilutėje. El. Laiško turinys tuščias.

Šlamšto el. Laiškas paprastai įvardijamas tada, kai Bilas atvyksta su a .užtrauktukas, kuriame yra .LNK bylos. Atidarydamas .„ZIP“ priedą, vartotojai suaktyvina infekcijos grandinę. Ši grėsmė nustatoma kaip „TrojanDownloader“: „PowerShell“ / „Ploprolo“.A. Kai sėkmingai veikia „PowerShell“ scenarijus, jis atsisiunčia ir vykdo „Locky“ laikinajame aplanke, užbaigdamas infekcijos grandinę.

Failų tipai, kuriems taikoma „Locky Ransomware“

Žemiau pateikiami failų tipai, kuriems taikoma „Locky“ išpirkos programa.

.juv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .žiurkė, .plaustas, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plius_muhdas, .pdd, .kita, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .be problemų, .nef, .ndd, .myd, .mrw, .piniginis, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibankas, .hbk, .gry, .pilka, .pilka, .fhd, .ffd, .ex, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .vnt, .db_žurnalas, .csl, .csh, .crw, .nuskaityti, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .įlanka, .bankas, .atsarginė kopija, .atsarginė kopija, .atgal, .awg, .apj, .ait, .agdl, .skelbimai, .adb, .akr, .skauda, .pridedamas, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .„vbox“, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .žurnalas, .hpp, .hdd, .grupės, .flvv, .edb, .dit, .dat, .cmt, .šiukšliadėžė, .aiff, .xlk, .vata, .tlg, .sakyk, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pefas, .paglostyti, .Alyva, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .dizainas, .ddd, .dcr, .dac, .cdx, .cdf, .sumaišyti, .bpp, .adp, .aktas, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .taškas, .cpi, .kls, .cdr, .arw, .aac, .tūkst, .srt, .sutaupyti, .saugus, .pwm, .puslapių, .obj, .mlb, .MBX, .apšviesta, .laccdb, .kwm, .idx, .HTML, .flf, .dxf, .dwg, .dds, .csv, .css, .konfigūruoti, .plg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .pranešimas, .žemėlapių paštas, .jnt, .doc, .dbx, .kontaktas, .vidurio, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .piniginė, .upk, .sav, .ltx, .litesql, .litemodas, .lbf, .iwi, .kalti, .das, .3 šaukštai, .bsa, .bik, .turtas, .apk, .gpg, .aes, .ARC, .PAQ, .degutas.bz2, .tbk, .bak, .degutas, .tgz, .rar, .užtrauktukas, .djv, .djvu, .svg, .bmp, .png, .gif, .žalias, .cgm, .JPEG, .JPG, .tif, .tiff, .NEF, .psd, .cmd, .šikšnosparnis, .klasė, .stiklainiukas, .java, .asp, .brd, .sch, .dch, .panardinti, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MANO AŠ, .MYD, .frm, .nelyginis, .dbf, .mdb, .kv, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .kloti6, .gulėti, .ms11 (saugos kopija), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .keista, .uop, .puodai, .potm, .pptx, .pptm, .standartinis, .sxd, .puodas, .pps, .sti, .sxi, .otp, .odp, .sav, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .maks, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .nelyginis, .DOC, .pem, .csr, .krt, .ke.

Kaip užkirsti kelią „Locky Ransomware“ atakai

„Locky“ yra pavojingas virusas, keliantis didelę grėsmę jūsų kompiuteriui. Rekomenduojama vadovautis šiomis instrukcijomis, kad išvengtumėte išpirkos ir negalėtumėte užsikrėsti.

1. Visada turėkite antivirusinę programinę įrangą ir antivirusinę programinę įrangą, apsaugančią jūsų kompiuterį ir reguliariai ją atnaujinkite.
2. Atnaujinkite „Windows“ OS ir visą kitą programinę įrangą, kad sumažintumėte galimą programinės įrangos išnaudojimą.
3. Reguliariai kurkite svarbių failų atsargines kopijas. Tai yra gera galimybė juos išsaugoti neprisijungus, nei debesies saugykloje, nes virusas gali pasiekti ir ten
4. Išjunkite makrokomandų įkėlimą „Office“ programose. Atidaryti užkrėstą „Word“ dokumento failą gali būti rizikinga!
5. Aklai neatidarykite laiškų skiltyse „Šlamštas“ arba „Šiukšlė“. Tai gali apgauti atverti el. Laišką, kuriame yra kenkėjiška programa. Pagalvokite prieš spustelėdami interneto svetainių nuorodas ar el. Laiškus arba atsisiųsdami nežinomų siuntėjų el. Pašto priedus. Nespauskite ir neatidarykite tokių priedų:

1. Failai su .LNK pratęsimas
2. Failai su.wsf pratęsimas
3. Failai su dvigubo taško plėtiniu (pavyzdžiui, profile-p29d… wsf).

Perskaityk: Ką daryti po „Ransomware“ atakos „Windows“ kompiuteryje?

Kaip iššifruoti „Locky Ransomware“

Šiuo metu „Locky“ išpirkos programai nėra jokių iššifruotojų. Tačiau iššifruoti iš „Emsisoft“ galima iššifruoti failus, užšifruotus „AutoLocky“, kita išpirkos programa, kuri taip pat pervadina failus į .rakinamasis pratęsimas. „AutoLocky“ naudoja scenarijų kalbą „AutoI“ ir bando imituoti sudėtingą ir sudėtingą „Locky“ išpirkos programą. Visą galimų išpirkos programų iššifravimo įrankių sąrašą galite pamatyti čia.

Šaltiniai ir kreditai: „Microsoft“ MiegantisKompiuteris „PCRisk“.