Locky Ransomware este mortală! Aici este tot ce trebuie să știți despre acest virus.

Locky este numele unui Ransomware care a evoluat târziu, datorită actualizării algoritmului constant de către autori. Locky, așa cum sugerează numele său, redenumește toate fișierele importante de pe PC-ul infectat, oferindu-le o extensie.locky și solicită răscumpărare pentru cheile de decriptare.

Locky ransomware - Evolution

Ransomware a crescut la o rată alarmantă în 2016. Utilizează Email & Social Engineering pentru a intra în sistemele de calculatoare. Cele mai multe e-mail-uri cu documente malitioase au inclus populara tulpina ransomware Locky. Printre miliardele de mesaje care au folosit atașamente de documente malițioase, în jur de 97% au reprezentat Locky ransomware, ceea ce reprezintă o creștere alarmantă de 64% față de Q1 2016, când a fost descoperită pentru prima dată.

Locky ransomware Februarie 2016 și a fost trimisă la o jumătate de milion de utilizatori. Locky a intrat în lumina reflectoarelor când, în luna februarie a acestui an, Centrul Medical Presbyterian de la Hollywood a plătit o răscumpărare Bitcoin de 17.000 de dolari pentru cheia de decriptare pentru datele pacientului. Locky infectează Spitalul printr-un atașament de e-mail deghizat sub forma unei facturi Microsoft Word.

Începând cu luna februarie, Locky își lansează extensiile în încercarea de a înșela victimele că au fost infectate de un alt Ransomware. Locky a început inițial să redenumească fișierele criptate la .locky și până în momentul în care vara a sosit, a evoluat în extensia .zepto , care a fost folosită în mai multe campanii de atunci., Locky este acum criptarea fișierelor cu extensia

.ODIN , încercând să confunde utilizatorii că este de fapt răscumpărarea Odin. Locky Ransomware

Locky ransomware se răspândește în principal prin campaniile de e-mail spam care sunt conduse de atacatori. Aceste e-mailuri de spam au în mare parte fișiere.doc ca atașamente

care conțin text scrambled care apar ca macrocomenzi. Un e-mail tipic utilizat în distribuția ransomware Locky poate fi o factură care atrage atenția majorității utilizatorilor, Subiectul e-mailului ar putea fi

"ATTN: factura P-12345678"

atașată infectată - " invoice_P-12345678.doc): " Și corpul de e-mail -" Stimate persoană, vă rugăm să consultați factura atașată (documentul Microsoft Word) și să remiteți plata conform termenilor enumerați în partea de jos a facturii. Spuneți-ne dacă aveți întrebări. Apreciem foarte mult afacerea dvs.! " Odată ce utilizatorul permite setările macro în programul Word, un fișier executabil care este de fapt ransomware este descărcat pe PC. Ulterior, diferite fișiere de pe PC-ul victimei sunt criptate de către ransomware, oferindu-le un nume unic de combinație de 16 litere cu

.shit

, .thor , .locky.zepto sau .odin extensii de fișiere. Toate fișierele sunt criptate folosind algoritmi RSA-2048 și AES-1024 și necesită o cheie privată stocată pe serverele de la distanță controlate de infractorii cibernetici pentru decriptare. sunt criptate, Locky generează un fișier suplimentar .txt și

_HELP_instructions.html în fiecare folder care conține fișierele criptate. Acest fișier text conține un mesaj (așa cum este arătat mai jos) care informează utilizatorii despre criptare. În plus, afirmă că fișierele pot fi decriptate numai folosind un decrypter dezvoltat de infractori cibernetici și costând.5 BitCoin. Prin urmare, pentru a obține fișierele înapoi, victima este rugată să instaleze browser-ul Tor și să urmeze un link furnizat în fișierele text / tapet. Site-ul conține instrucțiuni pentru efectuarea plății. Nu există nicio garanție că, chiar și după efectuarea plății victimelor, fișierele vor fi decriptate. Dar, de obicei, pentru a-și proteja autorii de răscumpărare de "reputație", de obicei se lipește de partea lor de negociere. Locky Ransomware schimbare de la.wsf la extindere.LNK

Publicarea evoluției sale în acest an în februarie; Infecțiile cu infecții infecțioase au scăzut treptat, cu detectări mai mici de

Nemucod

, pe care Locky le utilizează pentru a infecta computerele. (Nemucod este un fișier.wsf conținut în atașamente.zip în e-mail spam). Cu toate acestea, după cum raportează Microsoft, autorii Locky au schimbat atașamentul de la fișiere

.wsf la fișierele rapide (extensia LNK) care conțin comenzi PowerShell pentru a descărca și a rula Locky. exemplul e-mailului spam de mai jos arată că acesta este destinat atragerii atenției imediate de la utilizatori. Acesta este trimis cu mare importanță și cu caractere aleatorii în linia de subiect. Corpul e-mailului este gol. E-mailul de tip spam numește în mod obișnuit numele de Bill având un atașament.zip, care conține fișierele.LNK. În deschiderea atașamentului.zip, utilizatorii declanșează lanțul infecției. Această amenințare este detectată ca TrojanDownloader: PowerShell / Ploprolo.A . Atunci când scriptul PowerShell rulează cu succes, acesta descarcă și execută Locky într-un folder temporar care completează lanțul de infectare.

Tipurile de fișiere vizate de Locky Ransomware

Mai jos sunt tipurile de fișiere vizate de Locky ransomware. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mni,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.de,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ac,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qq vc,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.cdcb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,..dbx,.contact,.mid,.wma,.flv,.dbx,.dbx,.xl,.xls,.wb,.rf,.pf,.ppt,.oab,.msg,.mapimail,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.arc,. PAQ,.tar.bz2,.tbk,.bak,..gif,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (copie de siguranță),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.dot,.ods,.hwp,.dotm,.dotx,.docm,.docx,.dot,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ot,.odt,.doc,.pem,.csr,.crt,.ke. Cum să preveni atacul Locky Ransomware Locky este un virus periculos care posedă o amenințare gravă la PC-ul tău. Este recomandat să urmați aceste instrucțiuni pentru a preveni răsfoirea și a evita infectarea.

Aveți întotdeauna un software anti-malware și un software antivirus care să vă protejeze calculatorul și să îl actualizați periodic.

Actualizați-vă sistemul de operare Windows și restul actualizat al software-ului pentru a atenua posibilele exploatări ale software-ului.

Faceți copii de siguranță ale fișierelor importante în mod regulat. Este o opțiune bună să le salvați offline decât pe un spațiu de stocare în cloud, deoarece virusul poate ajunge și acolo.

Dezactivați încărcarea macro-urilor în programele Office. Deschiderea unui fișier document Word infectat se poate dovedi riscantă!

Nu deschideți orbește mesajele în secțiunile e-mail "Spam" sau "Junk". Acest lucru vă poate ajuta să deschideți un e-mail care conține malware-ul. Gândiți-vă înainte de a face clic pe link-uri web pe site-uri sau e-mailuri sau descărcați atașamente de e-mail de la expeditori pe care nu le știți. Nu faceți clic sau nu deschideți astfel de atașamente:

1. Fișiere cu extensie.LNK
2. Fișiere cu extensie.wsf
3. Fișiere cu extensie dublă punct (de exemplu, profil-p29d … wsf)
4. : Ce trebuie făcut după un atac Ransomware pe computerul dvs. Windows?
5. Cum să decriptați Locky Ransomware
1. De acum, nu există decryptoare disponibile pentru ransomware Locky. Cu toate acestea, un decryptor de la Emsisoft poate fi utilizat pentru a decripta fișierele criptate de
2. AutoLocky
3. , un alt ransomware care redenumește de asemenea fișiere în extensia.locky. AutoLocky folosește limbajul de scriere AutoI și încearcă să imite complexul și sofisticatul ransomware Locky. Puteți vedea lista completă a instrumentelor de decryptor ransomware disponibile aici.

Surse și credite : Microsoft | BleepingComputer | PCRisk.