Locky Ransomware je smrtící! Zde je vše, co byste o tomto viru měli vědět.

Locky je název Ransomware, který se vyvíjel pozdě, díky konstantnímu algoritmu jeho autory. Lokky, jak to naznačuje jeho jméno, přejmenuje všechny důležité soubory na infikovaném PC a poskytuje jim rozšíření.locky a požaduje výkupné za dešifrovací klíče.

Locky ransomware - Evolution

Ransomware vzrostl s alarmujícím tempem v roce 2016. Používá Email & Social Engineering k zadávání vašich počítačových systémů. Většina e-mailů se škodlivými dokumenty připojenými představovala populární ransomware kmen Locky. Mezi miliardami zpráv, které používaly škodlivé přílohy dokumentů, bylo asi 97% označeno jako Locky ransomware, což je alarmující 64% nárůst oproti prvnímu roku 1916.

Locky ransomware byl poprvé detekován Února 2016 a údajně byla odeslána pol milionu uživatelů. Locky se dostal do pozornosti, když v únoru letošního léta Hollywood Presbyterian Medical Center zaplatil $ 17,000 Bitcoin výkupné za dešifrovací klíč pro pacientská data. Lokky infikovala data nemocnice prostřednictvím e-mailové přílohy, která byla převlečena jako faktura Microsoft Word.

Od února zavírá Locky své rozšíření v pokusu oklamat obětem, že byli nakaženi jiným Ransomwarem. Locky začal původně přejmenovat šifrované soubory na .locky a v době, kdy se léto dostalo, se vyvinulo do rozšíření .zepto , které bylo použito ve více kampaních od.

, Locky nyní šifruje soubory s rozšířením .ODIN a snaží se zaměnit uživatele, že to je vlastně Odin ransomware.

Locky Ransomware

Locky ransomware se šíří především spamovými e-maily kampaněmi vedenými útočníky. Tyto spamové e-maily obsahují převážně soubory .doc jako přílohy , které obsahují kódované texty, které jsou makrami.

Typický e-mail používaný v distribuci Locky ransomware může být faktorem,

Předmět e-mailu může být - "ATTN: Faktura P-12345678" infikovaná příloha - fakice_P-12345678.doc): "

A tělo e-mailu -" Vážení uživatelé, podívejte se na přiloženou fakturu (dokument aplikace Microsoft Word) a odešlete platbu podle podmínek uvedených v dolní části faktury. Dejte nám vědět, pokud máte nějaké dotazy. Velice si vážíme vašeho podnikání! "

Jakmile uživatel povolí nastavení makra v programu Word, v počítači se stáhne spustitelný soubor, který je vlastně ransomware. Poté jsou různé soubory v počítači oběti zašifrovány pomocí ransomwaru, což jim dává jedinečné 16-ti znakové kombinace s .shit , .thor , .locky.zepto nebo .odin přípony souborů. Všechny soubory jsou šifrovány pomocí algoritmů RSA-2048 a AES-1024 a vyžadují soukromý klíč uložený na vzdálených serverech řízených kybernetickými zločiny pro dešifrování. jsou šifrovány, v každé složce, která obsahuje šifrované soubory, generuje další soubor

.txt a _HELP_instructions.html . Tento textový soubor obsahuje zprávu (jak je uvedeno níže), která informuje uživatele o šifrování. Dále uvádí, že soubory mohou být dešifrovány pouze pomocí dešifrovacího programu vyvíjeného kybernetickými zločinci a náklady na BitCoin.5. Proto, aby se soubory vrátily zpět, je oběť požádána o instalaci prohlížeče Tor a sledování odkazu poskytnutého v textových souborech / tapetách. Na webové stránce jsou uvedeny pokyny k provedení platby.

Neexistuje žádná záruka, že i po zaplacení platby budou oběti soubory dešifrovány. Avšak obvykle, aby chránili své "pověst", autoři ransomwaru se obvykle drželi své části dohody.

Locky Ransomware změna z přípony.wsf na rozšíření.LNK

Zveřejněte svůj vývoj v letošním roce v únoru; Lokky infekce ransomware postupně klesaly s menšími detekcemi

Nemucod , které Locky používá k infekci počítačů. (Nemucod je soubor.wsf obsažený v přílohách.zip v nevyžádané poště). Nicméně, jak reportuje společnost Microsoft, autory společnosti Locky změnily přílohu z .wsf souborů na soubory zkratek (přípona LNK), které obsahují příkazy PowerShell ke stažení a spuštění aplikace Locky. příklad spamového e-mailu níže ukazuje, že je vytvořen tak, aby přilákal okamžitou pozornost od uživatelů. Je odeslán s velkou důležitostí as náhodnými znaky v řádku předmětu. Tělo e-mailu je prázdné. Spamový e-mail se obvykle jmenuje, když Bill přijde s přílohou.zip, která obsahuje soubory.LNK. Při otevření přílohy.zip uživatel spustí řetězec infekce. Tato hrozba je zjištěna jako

TrojanDownloader: PowerShell / Ploprolo.A

. Když úspěšně spustíte skript PowerShell, stáhne a spustí Locky v dočasném adresáři, který dokončí řetězec infekce. Typy souborů cílené pomocí programu Locky Ransomware Níže jsou typy souborů, na které je zaměřen program Locky ransomware

. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.de,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qq kráva,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.,.dbx,.contact,.mid,.wma,.flv,.dbx,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.arc,. PAQ,.tar.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (bezpečnostní kopie),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.ot,.ods,.hwp,.dotm,.dotx,.docm,.docx,.dot,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.doc,.pem,.csr,.crt,.ke.

Jak na zabránit útoku Locky Ransomware

Locky je nebezpečný virus, který vážně ohrožuje váš počítač. Doporučujeme, abyste dodržovali tyto pokyny, abyste zabránili vyloučení ransomwaru a zabránili infekci.

Vždy používejte anti-malware a anti-ransomware software, které chrání počítač a pravidelně ho aktualizují.

Aktualizujte operační systém Windows a ostatní software aktuální, abyste zmírnili možné zneužití softwaru.

1. Zálohujte důležité soubory pravidelně. Je to dobrá volba, pokud mají být ukládány offline, než v úložišti v cloudu, protože virus se tam může také dostat
2. Zakázat načítání maker v aplikacích sady Office. Otevření infikovaného souboru dokumentů aplikace Word se může ukázat jako riskantní!
3. Nesmažte poštu v sekci "Spam" nebo "Nevyžádaná pošta". To by vás mohlo navodit k otevření e-mailu obsahujícího malware. Zamyslete se nad tím, než kliknete na webové odkazy na webových stránkách nebo e-maily nebo stahujete e-mailové přílohy od odesílatelů, které neznáte. Nenakládejte a neotvírejte takové přílohy:
4. Soubory s příponou.LNK
5. Soubory s příponou.wsf
1. Soubory s rozšířením s dvojitou tečkou (například profil-p29d … wsf)
2. : Co dělat po útoku Ransomware na vašem počítači se systémem Windows?
3. Jak dešifrovat Locky Ransomware

Zatím neexistují pro zařízení Locky ransomware žádné dešifrovací prostředky. Dekryptor od společnosti Emsisoft však může být použit k dešifrování souborů zašifrovaných AutoLocky

, jiného ransomwaru, který také přejmenuje soubory na příponu.locky. AutoLocky používá skriptovací jazyk AutoI a pokouší se napodobit složitý a sofistikovaný ransomware Locky. Úplný seznam dostupných nástrojů pro dekódování ransomwaru naleznete zde.

Zdroje a kredity : Microsoft | BleepingComputer | PCRisk