Ransomware

Locky Ransomware ir nāvējoša! Šeit ir viss, kas jums jāzina par šo vīrusu.

Locky Ransomware ir nāvējoša! Šeit ir viss, kas jums jāzina par šo vīrusu.

Locky ir Ransomware nosaukums, kas ir attīstījies novēloti, pateicoties tā autoru pastāvīgajai algoritma jaunināšanai. Locky, kā iesaka nosaukums, pārdēvē visus svarīgos failus inficētajā datorā, piešķirot tiem paplašinājumu .bloķēts un prasa izpirkšanu par atšifrēšanas atslēgām.

Locky ransomware - Evolution

Ransomware ir satraucoši strauji pieaudzis 2016. gadā. Lai ievadītu datorsistēmas, tā izmanto e-pastu un sociālo inženieriju. Lielākajā daļā e-pastu ar pievienotiem ļaunprātīgiem dokumentiem bija populārs ransomware celms Locky. Starp miljardiem ziņojumu, kas izmantoja ļaunprātīgus dokumentu pielikumus, aptuveni 97% bija Locky izpirkuma programmatūra, kas ir satraucoši pieaugums par 64% salīdzinājumā ar 2016. gada 1. ceturksni, kad tas pirmo reizi tika atklāts.

The Locky ransomware pirmo reizi tika atklāts 2016. gada februārī un tiek ziņots, ka tas tika nosūtīts pusmiljonam lietotāju. Lokijs nonāca uzmanības centrā, kad šī gada februārī Holivudas Presbiterijas medicīnas centrs samaksāja 17 000 ASV dolāru lielu Bitcoin izpirkuma maksu par atšifrēšanas atslēgu par pacientu datiem. Lokijs inficēja slimnīcas datus, izmantojot e-pasta pielikumu, kas maskēts kā Microsoft Word rēķins.

Kopš februāra Lokijs ķēdē savus paplašinājumus, cenšoties maldināt upurus, ka viņus ir inficējusi cita Ransomware. Lokijs sākotnēji sāka pārdēvēt šifrētos failus uz .bloķēts un līdz vasaras atnākšanai tā pārtapa par .zepto paplašinājums, kas kopš tā laika ir izmantots vairākās kampaņās.

Pēdējo reizi dzirdētais, Lokijs tagad šifrē failus ar .ODIN paplašinājumu, mēģinot sajaukt lietotājus, ka tā faktiski ir Odina izpirkuma programmatūra.

Locky Ransomware

Locky ransomware galvenokārt izplatās, izmantojot uzbrucēju rīkotas e-pasta kampaņas. Šie mēstules ir galvenokārt .doc faili kā pielikumi kas satur kodētu tekstu, kas, šķiet, ir makro.

Tipisks e-pasts, ko izmanto Locky ransomware izplatīšanā, var būt rēķins, kas piesaista lielāko lietotāja uzmanību, piemēram,

E-pasta tēma varētu būt - “ATTN: rēķins P-12345678”, inficēts pielikums - “rēķins_P-12345678.doc”(Satur makro, kas datoros lejupielādē un instalē Locky ransomware):”

Un e-pasta pamatteksts - “Cienījamais, lūdzu, skatiet pievienoto rēķinu (Microsoft Word dokuments) un veiciet maksājumu saskaņā ar rēķina apakšdaļā norādītajiem noteikumiem. Informējiet mūs, ja jums ir kādi jautājumi. Mēs ļoti novērtējam jūsu biznesu!”

Kad lietotājs ir iespējojis makro iestatījumus programmā Word, datorā tiek lejupielādēts izpildāms fails, kas faktiski ir izpirkuma programmatūra. Pēc tam dažādi faili upura datorā tiek šifrēti ar izpirkuma programmatūru, piešķirot tiem unikālus 16 burtu un ciparu kombināciju nosaukumus ar .sūdi, .thor, .bloķēts, .zepto vai .odin failu paplašinājumi. Visi faili tiek šifrēti, izmantojot RSA-2048 un AES-1024 algoritmus un atšifrēšanai nepieciešama privātā atslēga, kas tiek glabāta kibernoziedznieku kontrolētajos attālos serveros.

Kad faili ir šifrēti, Locky ģenerē papildu .txt un _HELP_instrukcijas.html failu katrā mapē, kurā ir šifrētie faili. Šajā teksta failā ir ziņojums (kā parādīts zemāk), kas informē lietotājus par šifrēšanu.

Turpat norādīts, ka failus var atšifrēt tikai, izmantojot kibernoziedznieku izstrādātu atšifrētāju un izmaksu .5 BitCoin. Tādēļ, lai atgūtu failus, upurim tiek lūgts instalēt Tor pārlūku un sekot saitei, kas norādīta teksta failos / fonā. Vietnē ir norādījumi par maksājuma veikšanu.

Nav garantijas, ka pat pēc maksājuma veikšanas cietušo faili tiks atšifrēti. Bet parasti, lai aizsargātu tās “reputāciju”, izpirkuma programmatūras autori parasti paliek pie savas darījuma daļas.

Locky Ransomware mainās no .wsf uz .LNK pagarinājums

Publicējiet tā evolūciju šogad februārī; Locky ransomware infekcijas ir pakāpeniski samazinājušās, mazāk atklājot Nemucod, ko Lokijs izmanto datoru inficēšanai. (Nemucod ir a .wsf fails, kas atrodas .zip pielikumus surogātpasta e-pastā). Tomēr, kā ziņo Microsoft, Lokija autori ir mainījuši pielikumu no .wsf faili uz saīsnes faili (.LNK paplašinājums), kas satur PowerShell komandas, lai lejupielādētu un palaistu Locky.

Turpmāk sniegtais surogātpasta e-pasta piemērs parāda, ka tas ir izveidots, lai nekavējoties piesaistītu lietotāju uzmanību. Tas tiek nosūtīts ar lielu nozīmi un ar izlases rakstzīmēm tēmas rindiņā. E-pasta ziņojuma pamatteksts ir tukšs.

Surogātpasta e-pasts parasti tiek nosaukts, kad Bils ierodas ar a .rāvējslēdzēja pielikums, kurā ir .LNK faili. Atverot .zip pielikumu, lietotāji izraisa infekcijas ķēdi. Šie draudi tiek atklāti kā TrojanDownloader: PowerShell / Ploprolo.A. Kad sekmīgi darbojas PowerShell skripts, tas lejupielādē un izpilda Locky pagaidu mapē, pabeidzot infekcijas ķēdi.

Failu veidi, kuru mērķauditorija ir Locky Ransomware

Tālāk ir norādīti failu tipi, uz kuriem vērsta Locky ransomware.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .žurka, .plosts, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .otrs, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .Myd, .mrw, .Moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibanka, .hbk, .gry, .pelēks, .pelēks, .fhd, .ffd, .piem, .erf, .erbsql, .piem, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .rāpot, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .līcis, .banka, .backupdb, .dublējums, .atpakaļ, .awg, .apj, .ait, .agl, .reklāmas, .adb, .acr, .sāp, .pievienoties, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .Qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .žurnāls, .hpp, .hdd, .grupas, .flvv, .edb, .dit, .dat, .cmt, .atkritumu tvertne, .aiff, .xlk, .vate, .tlg, .saki, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .eļļa, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .dizains, .ddd, .dcr, .dac, .cdx, .cdf, .sajaukt, .bkp, .adp, .tēlot, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .punkts, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .saglabāt, .drošs, .pwm, .lapas, .obj, .mlb, .MBX, .iedegts, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .konfigurēt, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .ziņojums, .mapimail, .jnt, .doc, .dbx, .kontakts, .vidū, .wma, .flv, .mkv, .mov, .avi, .asf, .MPEG, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .maciņš, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .kalt, .das, .d3dbsp, .bsa, .bik, .aktīvs, .apk, .gpg, .aes, .ARC, .PAQ, .darva.bz2, .tbk, .bak, .darva, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .neapstrādāts, .cgm, .JPEG, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .sikspārnis, .klasē, .burka, .java, .asp, .brd, .sch, .dch, .iemērc, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .nepāra, .dbf, .mdb, .kvl, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .gulēt6, .gulēja, .ms11 (drošības kopija), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .savādāk, .uop, .potks, .potm, .pptx, .pptm, .std, .sxd, .katls, .pps, .sti, .sxi, .otp, .odp, .ned, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .maks, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .nepāra, .DOC, .pem, .csr, .crt, .ke.

Kā novērst Locky Ransomware uzbrukumu

Locky ir bīstams vīruss, kas nopietni apdraud jūsu datoru. Ieteicams ievērot šos norādījumus, lai novērstu izpirkumu un izvairītos no inficēšanās.

  1. Vienmēr ir pret ļaunprātīgu programmatūru un pret izpirkuma programmatūru aizsargāta programmatūra, kas aizsargā jūsu datoru un regulāri to atjaunina.
  2. Atjauniniet Windows operētājsistēmu un visu pārējo programmatūru, lai mazinātu iespējamos programmatūras izmantojumus.
  3. Regulāri dublējiet svarīgos failus. Tā ir laba iespēja tos saglabāt bezsaistē, nevis mākoņa krātuvē, jo vīruss var nokļūt arī tur
  4. Atspējojiet makro ielādi Office programmās. Inficēta Word dokumenta faila atvēršana var izrādīties riskanta!
  5. Akli neatveriet e-pasta sadaļas “Mēstules” vai “Nevēlams”. Tas varētu jūs maldināt atvērt e-pastu ar ļaunprātīgu programmatūru. Padomājiet, pirms noklikšķināt uz tīmekļa saitēm vietnēs vai e-pastos vai lejupielādējat e-pasta pielikumus no sūtītājiem, kurus nezināt. Neklikšķiniet un neatveriet šādus pielikumus:
    1. Faili ar .LNK pagarinājums
    2. Faili ar.wsf pagarinājums
    3. Faili ar dubultpunktu paplašinājumu (piemēram, profile-p29d… wsf).

Lasīt: Ko darīt pēc Ransomware uzbrukuma jūsu Windows datoram?

Kā atšifrēt Locky Ransomware

Pašlaik Locky ransomware nav pieejami atšifrētāji. Tomēr atšifrētāju no Emsisoft var izmantot, lai atšifrētu AutoLocky, cita izpirkšanas programmatūra, kas arī pārdēvē failus uz .bloķējams pagarinājums. AutoLocky izmanto skriptu valodu AutoI un mēģina atdarināt sarežģīto un izsmalcināto Locky ransomware. Šeit varat skatīt pilnu pieejamo ransomware atšifrēšanas rīku sarakstu.

Avoti un kredīti: Microsoft | Miega dators | PCRisk.

Spēles Komerciālo spēļu dzinēju atvērtā koda porti
Komerciālo spēļu dzinēju atvērtā koda porti
Bezmaksas, atvērtā koda un starpplatformu spēļu dzinēju atpūtu var izmantot, lai spēlētu vecos, kā arī dažus no diezgan nesenajiem spēļu nosaukumiem. ...
Spēles Labākās komandrindas spēles Linux
Labākās komandrindas spēles Linux
Komandrinda nav tikai lielākais sabiedrotais, lietojot Linux, bet tā var būt arī izklaides avots, jo to var izmantot, lai spēlētu daudzas jautras spēl...
Spēles Labākās Linux spēļu gamepad kartēšanas lietotnes
Labākās Linux spēļu gamepad kartēšanas lietotnes
Ja jums patīk spēlēt spēles Linux ar parastu tastatūru, nevis parasto tastatūru un peles ievades sistēmu, jums ir dažas noderīgas lietotnes. Daudzas d...