Kontor

Locky Ransomware er dødelig! Her er alt du bør vite om dette viruset.

Remove Osiris Virus (Locky Ransomware) from Your Computer

Remove Osiris Virus (Locky Ransomware) from Your Computer

Innholdsfortegnelse:

Anonim

Locky er navnet på en Ransomware som har utviklet seg sent, takket være den konstante algoritmoppgraderingen av sine forfattere. Locky, som foreslått av navnet, omdøper alle viktige filene på den infiserte PCen, og gir dem en forlengelse.locky og krever løsepenge for dekrypteringsnøklene.

Locky ransomware - Evolution

Ransomware har vokst i en foruroligende hastighet i 2016. Den bruker e-post og sosialteknologi for å komme inn i datasystemene dine. De fleste e-postmeldinger med skadelige dokumenter vedlagt inneholdt den populære ransomware-stammen Locky. Blant milliarder meldinger som brukte skadelige dokumentvedlegg, omfattet 97% Locky ransomware, det er en alarmerende 64% økning fra første kvartal 2016 da den ble oppdaget.

Locky ransomware ble først oppdaget i Februar 2016 og ble rapportert sendt til en halv million brukere. Locky kom inn i rampelyset da i februar i år betalte Hollywood Presbyterian Medical Center et $ 17,000 Bitcoin løsepris for dekrypteringsnøkkelen for pasientdata. Locky smittet sykehusets data gjennom et e-postvedlegg som er skjult som en Microsoft Word-faktura.

Siden februar har Locky kjørt sine utvidelser for å bedra de som har blitt smittet av en annen Ransomware. Locky startet opprinnelig navnet på de krypterte filene til .locky , og da sommeren ankom, utviklet den seg til .zepto forlengelsen, som har blitt brukt i flere kampanjer siden.

Sist hørt, Locky er nå krypterende filer med .ODIN forlengelse, og forsøker å forvirre brukere om at det faktisk er Odin ransomware.

Locky Ransomware

Locky ransomware sprer seg hovedsakelig via spam e-postkampanjer som drives av angriperne. Disse spam-e-postadressene har for det meste .doc-filer som vedlegg som inneholder kryptert tekst som ser ut til å være makroer.

En typisk e-post som brukes i Locky ransomware-distribusjon, kan være av en faktura som fanger de fleste brukerens oppmerksomhet. For eksempel,

Epostfelt kan være - "ATTN: Faktura P-12345678", infisert vedlegg - " faktura_P-12345678.doc " (inneholder makroer som laster ned og installerer Locky ransomware på datamaskiner): "

Og e-postkroppen -" Kjære, vennligst se vedlagte faktura (Microsoft Word Document) og betalingsavgift i henhold til vilkårene som er oppført nederst på fakturaen. Gi oss beskjed hvis du har noen spørsmål. Vi setter stor pris på virksomheten din! "

Når brukeren aktiverer makroinnstillinger i Word-programmet, blir en kjørbar fil som faktisk er ransomware lastet ned på PCen. Deretter krypteres ulike filer på offerets PC med ransomware som gir dem unike 16 brev-sifferkombinasjonsnavn med .shit , .thor , .locky , .zepto eller .odin filutvidelser. Alle filer krypteres med RSA-2048 og AES-1024 algoritmer og krever en privat nøkkel lagret på de eksterne serverne som kontrolleres av cyberkriminelle for dekryptering.

Når filene krypteres, genererer Locky en ekstra .txt og _HELP_instructions.html -fil i hver mappe som inneholder de krypterte filene. Denne tekstfilen inneholder en melding (som vist nedenfor) som informerer brukere om kryptering.

Det fremgår videre at filer kun kan dekrypteres ved hjelp av en dekrypter utviklet av cyberkriminelle og koster.5 BitCoin. Derfor, for å få filene tilbake, blir offeret bedt om å installere Tor-nettleseren og følge en lenke som er gitt i tekstfiler / bakgrunnsbilde. Nettstedet inneholder instruksjoner for å foreta betalingen.

Det er ingen garanti for at selv etter å ha gjort betalingsoffertfilene dekrypteres. Men vanligvis for å beskytte sin "omdømme" holder ransomware forfattere vanligvis til sin del av prute.

Locky Ransomware skifter fra.wsf til.LNK forlengelse

Skriv evolusjonen sin i februar; Locky ransomware infeksjoner har gradvis redusert med mindre detekteringer av Nemucod , som Locky bruker for å infisere datamaskiner. (Nemucod er en.wsf-fil som finnes i.zip-vedlegg i spam-e-post). Som Microsoft har rapportert, har Locky forfattere endret vedlegget fra .wsf filer til snarveiledninger (.LNK-utvidelse) som inneholder PowerShell-kommandoer for å laste ned og kjøre Locky.

En Eksempel på e-postadressen nedenfor viser at den er laget for å få umiddelbar oppmerksomhet fra brukerne. Den sendes med stor betydning og med tilfeldige tegn i emnelinjen. E-postens kropp er tom.

Den spam-e-posten som vanligvis kalles Bill kommer med et.zip-vedlegg, som inneholder.LNK-filene. Ved å åpne.zip vedlegget, utløser brukerne infeksjonskjeden. Denne trusselen er oppdaget som TrojanDownloader: PowerShell / Ploprolo.A . Når PowerShell-skriptet kjøres, løper det ned og kjører Locky i en midlertidig mappe som fullfører smittekjeden.

Filtyper som er målrettet av Locky Ransomware

Nedenfor er filtypene som er målrettet av Locky ransomware.

.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.xx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.da,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qb,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.now,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accd,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q ku,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,..abf.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tjære,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (Sikkerhetskopi),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.xi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.xx,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Hvordan hindre Locky Ransomware-angrep

Locky er et farlig virus som har en alvorlig trussel mot PCen din. Det anbefales at du følger disse instruksjonene for å forhindre ransomware og unngå å bli smittet.

  1. Har alltid en anti-malware-programvare og en anti-ransomware-programvare som beskytter PCen din og oppdaterer den regelmessig.
  2. Oppdater Windows OS og resten av programvaren oppdatert for å redusere mulige programvareutnyttelser.
  3. Sikkerhetskopier dine viktige filer regelmessig. Det er et godt alternativ for å få dem lagret frakoblet enn på en skylagring, siden viruset kan nå det også.
  4. Deaktiver lastingen av makroer i Office-programmer. Å åpne en infisert Word-dokumentfil kan vise seg å være risikabelt!
  5. Ikke blindt åpne e-post i e-postdelene `spam` eller `Uønsket`. Dette kan føre deg til å åpne en e-post som inneholder malware. Tenk før du klikker på nettsider på nettsteder eller e-post eller laster ned e-postvedlegg fra sendere som du ikke vet. Ikke klikk eller åpne slike vedlegg:
    1. Filer med.LNK-utvidelse
    2. Filer with.wsf utvidelse
    3. Filer med dobbeltpunktsutvidelse (for eksempel profil-p29d … wsf).

Les : Hva skal du gjøre etter et Ransomware-angrep på Windows-datamaskinen?

Slik dekrypterer du Locky Ransomware

Fra nå er det ingen dekryptere tilgjengelig for Locky ransomware. En Decryptor fra Emsisoft kan imidlertid brukes til å dekryptere filer som er kryptert av AutoLocky , en annen ransomware som også omdøper filer til.locky-utvidelsen. AutoLocky bruker skriptspråk AutoI og prøver å etterligne det komplekse og sofistikerte Locky ransomware. Du kan se den komplette listen over tilgjengelige ransomware-dekrypteringsverktøy her.

Kilder og kreditter : Microsoft | BleepingComputer | PCRisk.