Locky Ransomware är dödligt! Här är allt du borde veta om detta virus.

Locky är namnet på en Ransomware som har utvecklats för sent, tack vare den ständiga algoritmuppgraderingen av dess författare. Locky, som föreslagits av dess namn, byter namn på alla viktiga filer på den infekterade datorn som ger dem en förlängning.locky och kräver lösen för dekrypteringsnycklarna.

Locky ransomware - Evolution

Ransomware har vuxit i en oroväckande takt år 2016. Den använder Email & Social Engineering för att komma in i dina datorsystem. De flesta e-postmeddelanden med skadliga dokument bifogade den populära ransomware-stammen Locky. Bland de miljarder meddelanden som använde skadliga dokument bifogade 97% Locky ransomware, det är en alarmerande 64% ökning från första kvartalet 2016 när den först upptäcktes.

Locky ransomware upptäcktes först i Februari 2016 och rapporterades skickas till en halv miljon användare. Locky kom i rampljus när i februari i år betalade Hollywood Presbyterian Medical Center ett $ 17.000 Bitcoin lösenbelopp för dekrypteringsnyckeln för patientdata. Locky infekterade sjukhusens data via en e-postbilaga dold som en Microsoft Word-faktura.

Sedan februari har Locky kopplat sina förlängningar för att lura offer att de har smittats av en annan Ransomware. Locky började ursprungligen byta namn på de krypterade filerna till .locky och vid den tidpunkten som sommaren anlände utvecklades den till utvidgningen .zepto , som har använts i flera kampanjer sedan.

Senast hört Locky är nu krypterande filer med .ODIN förlängning och försöker förvirra användarna att det verkligen är Odin ransomware.

Locky Ransomware

Locky ransomware sprider sig huvudsakligen via spam-e-postkampanjer som drivs av attackerna. Dessa spam-e-postmeddelanden har för det mesta .doc-filer som bilagor som innehåller krypterad text som verkar vara makron.

En typisk e-post som används i Locky ransomware-distribution kan vara en faktura som fångar mest användarens uppmärksamhet,

Email-ämnet kan vara - "ATTN: Faktura P-12345678" infekterad bilaga - " faktura_P-12345678.doc " (innehåller makron som hämtar och installerar Locky ransomware på datorer): "

och e-postkropp -" Kära någon, Se bifogad faktura (Microsoft Word Document) och betalningsavgift enligt villkoren i nedre delen av fakturan. Låt oss veta om du har några frågor. Vi uppskattar din verksamhet väldigt! "

När användaren aktiverat makroinställningar i Word-programmet kan en körbar fil som faktiskt ransomware laddas ner på datorn. Därefter krypteras olika filer på offrets dator med ransomware som ger dem unika 16 bokstäver kombinerade namn med .shit , .thor , .locky , .zepto eller .odin filtillägg. Alla filer är krypterade med hjälp av RSA-2048 och AES-1024 -algoritmerna och kräver en privat nyckel lagrad på fjärrservrarna som styrs av cyberkriminella för dekryptering.

När filerna krypteras skapar Locky ytterligare en .txt och _HELP_instructions.html -fil i varje mapp som innehåller krypterade filer. Denna textfil innehåller ett meddelande (som visas nedan) som informerar användarna om krypteringen.

Det anges vidare att filer endast kan dekrypteras med hjälp av en dekrypter som utvecklats av cyberkriminella och kostar.5 BitCoin. För att få tillbaka filerna blir offeret ombedd att installera Tor-webbläsaren och följa en länk som finns i textfilerna / tapeten. Webbplatsen innehåller instruktioner för att göra betalningen.

Det finns ingen garanti att även efter att betalningsoffrets filer har avkrypterats. Men vanligtvis för att skydda sitt "rykte" ransomware författare brukar hålla sig till sin del av fyndet.

Locky Ransomware ändras från.wsf till.LNK-förlängning

Skriv dess utveckling i år i februari; Locky ransomware infektioner har gradvis minskat med mindre detekteringar av Nemucod , vilket Locky använder för att infektera datorer. (Nemucod är en.wsf-fil som finns i.zip-bilagor i spam-e-post). Som Microsoft rapporterar har Locky-författarna ändrat bilagan från .wsf-filer till genvägsfiler (.LNK-förlängning) som innehåller PowerShell-kommandon för att ladda ner och köra Locky.

An Ett exempel på spam-e-postmeddelandet nedan visar att det är gjort för att locka omedelbar uppmärksamhet från användarna. Den skickas med stor vikt och med slumpmässiga tecken i ämnesraden. E-postens kropp är tom.

Den spam-e-postadress som vanligtvis namnges som Bill kommer med en.zip-bilaga, som innehåller.LNK-filerna. När du öppnar.zip-bilagan, utlöser användarna infektionskedjan. Detta hot upptäcks som TrojanDownloader: PowerShell / Ploprolo.A . När PowerShell-skriptet körs, laddar det ner och kör Locky i en tillfällig mapp som slutför infektionskedjan.

Filtyper som riktas av Locky Ransomware

Nedan finns de filtyper som riktas av Locky ransomware.

.yuv,. ycc,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.xg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q ko,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.grupper,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.xb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit.lcc,.abd.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tjära,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (Säkerhetskopia),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm.dx,.xx, xlt,.xlm,.xlc,.dif,.stc,.xx,.ots,.ds,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.xt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

förhindra Locky Ransomware attack

Locky är ett farligt virus som har ett allvarligt hot mot din dator. Det rekommenderas att du följer dessa anvisningar för att förhindra att ransomware blir skadad. Undvik att bli smittade.

1. Alltid ha en anti-malware-programvara och en anti-ransomware-programvara som skyddar datorn och uppdaterar den regelbundet.
2. Uppdatera ditt Windows OS och resten av din programvara uppdaterad för att mildra eventuella programvaruutnyttjanden.
3. Säkerhetskopiera dina viktiga filer regelbundet. Det är ett bra alternativ att få dem sparade offline än på ett molnlagring eftersom viruset kan nå det också
4. Inaktivera laddningen av makron i Office-program. Öppna en infekterad Word-dokumentfil kan visa sig vara riskabel!
5. Öppna inte blint mail i avsnittet "Spam" eller "Skräp". Detta kan lura dig att öppna ett e-postmeddelande innehållande skadlig programvara. Tänk innan du klickar på webblänkar på webbplatser eller e-postmeddelanden eller hämtar e-postbilagor från avsändare som du inte vet. Klicka inte på eller öppna sådana bilagor:
1. Filer med.LNK-förlängning
2. Filer with.wsf extension
3. Filer med dubbelpunktstillägg (till exempel profil-p29d … wsf).

Läs : Vad ska man göra efter en Ransomware-attack på din Windows-dator?

Så här dekrypterar du Locky Ransomware

Från och med nu finns det inga dekrypter tillgängliga för Locky ransomware. En dekrypterare från Emsisoft kan dock användas för att dekryptera filer som krypteras av AutoLocky , en annan ransomware som också byter namn på filer till.locky-tillägget. AutoLocky använder skriptspråk AutoI och försöker efterlikna den komplexa och sofistikerade Locky ransomware. Du kan se den fullständiga listan över tillgängliga ransomware-dekrypteringsverktyg här.

Källor och krediter : Microsoft | BleepingComputer | PCRisk.