Locky Ransomware là chết người! Đây là tất cả những gì bạn cần biết về virus này.

Mục lục:

Locky Ransomware là chết người! Đây là tất cả những gì bạn cần biết về virus này.
Locky Ransomware là chết người! Đây là tất cả những gì bạn cần biết về virus này.

Video: Locky Ransomware là chết người! Đây là tất cả những gì bạn cần biết về virus này.

Video: Locky Ransomware là chết người! Đây là tất cả những gì bạn cần biết về virus này.
Video: MỐI ĐE DỌA NGUY HIỂM MANG TÊN MÃ ĐỘC TỐNG TIỀN RANSOMWARE - YouTube 2024, Tháng Ba
Anonim

Locky là tên của một Ransomware đã được phát triển ra muộn, nhờ sự nâng cấp thuật toán liên tục của các tác giả của nó. Locky, như được đề xuất bởi tên của nó, đổi tên tất cả các tập tin quan trọng trên máy tính bị nhiễm cho họ một phần mở rộng .locky và đòi tiền chuộc cho các khóa giải mã.

Locky ransomware - Evolution

Ransomware đã phát triển với tốc độ đáng báo động vào năm 2016. Nó sử dụng Email & Kỹ thuật Xã hội để vào hệ thống máy tính của bạn. Hầu hết các email với các tài liệu độc hại kèm theo đều đặc trưng với dòng ransomware phổ biến Locky. Trong số hàng tỷ tin nhắn đã sử dụng các tệp đính kèm tài liệu độc hại, khoảng 97% tính năng phần mềm lưu trữ Locky, đó là mức tăng đáng báo động 64% kể từ Q1 2016 khi nó được phát hiện lần đầu tiên.

Các Locky ransomware được phát hiện lần đầu tiên vào tháng 2 năm 2016 và được báo cáo gửi tới nửa triệu người dùng. Locky đã đi vào ánh đèn sân khấu khi vào tháng Hai năm nay Trung tâm Y tế Hollywood Presbyterian đã trả một khoản tiền chuộc $ 17,000 Bitcoin cho khóa giải mã cho dữ liệu bệnh nhân. Dữ liệu của Bệnh viện bị khóa thông qua một tệp đính kèm email được ngụy trang dưới dạng hóa đơn Microsoft Word.

Kể từ tháng Hai, Locky đã chaining các phần mở rộng của nó trong một nỗ lực để đánh lừa các nạn nhân rằng họ đã bị nhiễm bởi một Ransomware khác. Locky bắt đầu đổi tên các tệp được mã hóa thành .locky và vào thời điểm mùa hè đến, nó phát triển thành .zepto tiện ích mở rộng đã được sử dụng trong nhiều chiến dịch kể từ đó.

Được biết lần cuối, Locky hiện đang mã hóa các tệp bằng .ODIN mở rộng, cố gắng gây nhầm lẫn cho người dùng rằng đó thực sự là phần mềm trả tiền của Odin.

Locky Ransomware

Locky ransomware chủ yếu lây lan qua các chiến dịch email spam do những kẻ tấn công thực hiện. Những email spam này chủ yếu là .doc tệp dưới dạng tệp đính kèm có chứa văn bản tranh giành xuất hiện là các macro.

Một email điển hình được sử dụng trong phân phối phần mềm ransomware Locky có thể là một hóa đơn thu hút sự chú ý của hầu hết người dùng, ví dụ:

Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”

And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”

Image
Image

Khi người dùng bật cài đặt macro trong chương trình Word, tệp thực thi thực sự là phần mềm tải xuống được tải xuống trên PC. Sau đó, các tệp khác nhau trên máy tính của nạn nhân được mã hóa bởi phần mềm trả tiền cho chúng 16 tên kết hợp chữ số duy nhất với .shit, .thor, .locky, .zepto hoặc là .odin phần mở rộng tệp. Tất cả các tệp được mã hóa bằng cách sử dụng RSA-2048AES-1024 thuật toán và yêu cầu khóa riêng tư được lưu trữ trên máy chủ từ xa được kiểm soát bởi bọn tội phạm mạng để giải mã.

Khi các tệp được mã hóa, Locky sẽ tạo thêm .txt_HELP_instructions.html tập tin trong mỗi thư mục chứa các tập tin được mã hóa. Tệp văn bản này chứa một thông báo (như được hiển thị bên dưới) để thông báo cho người dùng về mã hóa.

Nó tiếp tục nói rằng các tập tin chỉ có thể được giải mã bằng cách sử dụng một decrypter được phát triển bởi tội phạm mạng và chi phí.5 BitCoin. Do đó, để lấy lại các tập tin, nạn nhân được yêu cầu cài đặt trình duyệt Tor và theo một liên kết được cung cấp trong các tập tin văn bản / hình nền. Trang web chứa các hướng dẫn để thực hiện thanh toán.
Nó tiếp tục nói rằng các tập tin chỉ có thể được giải mã bằng cách sử dụng một decrypter được phát triển bởi tội phạm mạng và chi phí.5 BitCoin. Do đó, để lấy lại các tập tin, nạn nhân được yêu cầu cài đặt trình duyệt Tor và theo một liên kết được cung cấp trong các tập tin văn bản / hình nền. Trang web chứa các hướng dẫn để thực hiện thanh toán.
Không có đảm bảo rằng ngay cả sau khi thực hiện các tập tin nạn nhân thanh toán sẽ được giải mã. Nhưng thường là để bảo vệ các tác giả 'ransomware' danh tiếng của mình thường dính vào phần của họ trong món hời.
Không có đảm bảo rằng ngay cả sau khi thực hiện các tập tin nạn nhân thanh toán sẽ được giải mã. Nhưng thường là để bảo vệ các tác giả 'ransomware' danh tiếng của mình thường dính vào phần của họ trong món hời.

Locky Ransomware thay đổi từ.wsf thành phần mở rộng.LNK

Đăng sự tiến hóa của nó trong năm nay vào tháng Hai; Nhiễm trùng ransomware locky đã giảm dần với phát hiện ít hơn Nemucodmà Locky sử dụng để lây nhiễm cho máy tính. (Nemucod là tệp.wsf có trong tệp đính kèm.zip trong email spam). Tuy nhiên, như Microsoft báo cáo, các tác giả của Locky đã thay đổi phần đính kèm từ tệp.wsf đến tệp lối tắt (.LNK mở rộng) có chứa các lệnh PowerShell để tải xuống và chạy Locky.

Một ví dụ về email spam dưới đây cho thấy rằng nó được thực hiện để thu hút sự chú ý ngay lập tức từ người dùng. Nó được gửi với tầm quan trọng cao và với các ký tự ngẫu nhiên trong dòng chủ đề. Phần thân của email trống.

Image
Image

Email spam thường có tên là Bill đến với tệp đính kèm.zip, chứa tệp.LNK. Khi mở tệp đính kèm.zip, người dùng kích hoạt chuỗi lây nhiễm. Mối đe dọa này được phát hiện là TrojanDownloader: PowerShell / Ploprolo.A. Khi kịch bản PowerShell chạy thành công, nó tải xuống và thực thi Locky trong một thư mục tạm thời hoàn thành chuỗi lây nhiễm.

Các loại tệp được nhắm mục tiêu bởi Locky Ransomware

Dưới đây là các loại tệp được nhắm mục tiêu bởi chương trình ryomware Locky.

.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Làm thế nào để ngăn chặn tấn công Locky Ransomware

Locky là một loại virus nguy hiểm sở hữu một mối đe dọa nghiêm trọng đối với PC của bạn. Chúng tôi khuyên bạn nên làm theo các hướng dẫn này để ngăn chặn phần mềm chuộc và tránh bị lây nhiễm.

  1. Luôn có phần mềm chống phần mềm độc hại và phần mềm chống phần mềm bảo vệ máy tính của bạn và cập nhật thường xuyên.
  2. Cập nhật hệ điều hành Windows của bạn và phần còn lại của phần mềm cập nhật để giảm thiểu việc khai thác phần mềm có thể xảy ra.
  3. Thường xuyên sao lưu các tệp quan trọng của bạn. Đó là một tùy chọn tốt để lưu chúng ngoại tuyến so với lưu trữ trên đám mây vì vi rút cũng có thể tiếp cận ở đó
  4. Tắt tải Macros trong các chương trình Office. Việc mở tệp tài liệu Word bị nhiễm có thể chứng minh rủi ro!
  5. Không được mở thư một cách mù quáng trong các phần email ‘Spam’ hoặc ‘Junk’. Điều này có thể lừa bạn mở một email chứa phần mềm độc hại. Hãy suy nghĩ trước khi nhấp vào liên kết web trên trang web hoặc email hoặc tải xuống tệp đính kèm email từ những người gửi mà bạn không biết. Không nhấp hoặc mở các tệp đính kèm đó:
    1. Tệp có phần mở rộng.LNK
    2. Tệp có phần mở rộng.wsf
    3. Các tệp có phần mở rộng chấm kép (ví dụ: profile-p29d..wsf).

Đọc: Phải làm gì sau khi tấn công Ransomware trên máy tính Windows của bạn?

Cách giải mã Ransomware Locky

Tính đến thời điểm hiện tại, không có bộ giải mã nào có sẵn cho chương trình ryomware Locky. Tuy nhiên, một Decryptor từ Emsisoft có thể được sử dụng để giải mã các tệp được mã hóa bởi Tự động khóa, một phần mềm ransomware khác cũng đổi tên tệp thành phần mở rộng.locky. AutoLocky sử dụng ngôn ngữ kịch bản AutoI và cố gắng bắt chước phần mềm rườm rà Locky phức tạp và tinh vi. Bạn có thể xem danh sách đầy đủ các công cụ giải mã ransomware sẵn có tại đây.

Nguồn & Tín dụng: Microsoft | BleepingComputer | PCRisk.

Đề xuất: