Ransomvér

Locky Ransomware je smrteľný! Tu je všetko, čo by ste mali vedieť o tomto víruse.

Locky Ransomware je smrteľný! Tu je všetko, čo by ste mali vedieť o tomto víruse.

Locky je názov Ransomware, ktorý sa vyvíjal neskoro vďaka neustálej aktualizácii algoritmov jeho autormi. Locky, ako už naznačuje jeho názov, premenuje všetky dôležité súbory na infikovanom počítači a poskytne im príponu .šibnutý a požaduje výkupné za dešifrovacie kľúče.

Locky ransomware - vývoj

Ransomvér rástol v roku 2016 alarmujúcim tempom. Na vstup do vašich počítačových systémov používa e-mail a sociálne inžinierstvo. Väčšina e-mailov s pripojenými škodlivými dokumentmi obsahovala populárny kmeň ransomvéru Locky. Spomedzi miliárd správ, ktoré používali prílohy škodlivých dokumentov, približne 97% predstavovalo ransomvér Locky, čo je alarmujúcich 64% zvýšenie od prvého štvrťroku 2016, keď boli prvýkrát objavené.

The Locky ransomvér bola prvýkrát zistená vo februári 2016 a údajne bola odoslaná pol miliónu používateľov. Locky vstúpil do centra pozornosti, keď vo februári tohto roku zaplatilo hollywoodske Presbyterian Medical Center výkupné v hodnote 17 000 dolárov za bitcoinový bitcoin za dešifrovací kľúč pre údaje o pacientoch. Locky infikoval údaje nemocnice prostredníctvom e-mailovej prílohy maskovanej ako faktúra za Microsoft Word.

Od februára spoločnosť Locky pripája reťazce svojich rozšírení s cieľom oklamať obete, ktoré boli infikované iným ransomvérom. Locky začal pôvodne premenovávať šifrované súbory na .šibnutý a v čase, keď prišlo leto, sa z neho vyvinul .zepto rozšírenie, ktoré sa od roku používa vo viacerých kampaniach.

Naposledy počul, Locky teraz šifruje súbory pomocou .ODIN rozšírenie, ktoré sa pokúša zmiasť používateľov, že ide v skutočnosti o ransomvér Odin.

Locky Ransomware

Locky ransomware sa šíri hlavne prostredníctvom spamových e-mailových kampaní prevádzkovaných útočníkmi. Tieto nevyžiadané e-mailové adresy majú väčšinou .súbory doc ako prílohy ktoré obsahujú kódovaný text, ktorý sa javí ako makro.

Typickým e-mailom používaným pri distribúcii ransomvéru Locky môže byť napríklad faktúra, ktorá upúta pozornosť väčšiny používateľov,

Predmet e-mailu môže byť - „ATTN: Invoice P-12345678“, infikovaná príloha - “faktúra_P-12345678.doc„(Obsahuje makrá, ktoré sťahujú a inštalujú ransomvér Locky do počítačov):“

A telo e-mailu - „Vážený niekto, prečítajte si priloženú faktúru (dokument Microsoft Word) a platbu uskutočnite podľa podmienok uvedených v spodnej časti faktúry. Ak máte akékoľvek otázky, obráťte sa na nás. Veľmi si vážime vašu prácu!“

Keď používateľ aktivuje nastavenie makier v programe Word, stiahne sa do počítača spustiteľný súbor, ktorý je vlastne ransomwarom. Potom sú rôzne súbory na počítači obete šifrované ransomvérom, ktorý im dáva jedinečné 16-miestne kombinované názvy s .hovno, .Thor, .šibnutý, .zepto alebo .odin prípony súborov. Všetky súbory sú šifrované pomocou RSA-2048 a AES-1024 algoritmy a na dešifrovanie vyžadujú súkromný kľúč uložený na vzdialených serveroch kontrolovaných počítačovými zločincami.

Po zašifrovaní súborov vygeneruje Locky ďalšie .TXT a _HELP_instructions.html súbor v každom priečinku obsahujúcom zašifrované súbory. Tento textový súbor obsahuje správu (ako je uvedené nižšie), ktorá informuje používateľov o šifrovaní.

Ďalej sa v ňom uvádza, že súbory je možné dešifrovať iba pomocou dešifrovania vyvinutého počítačovými zločincami a výpočtu nákladov .5 bitcoinov. Preto, aby sa súbory dostali späť, je obeť požiadaná, aby si nainštalovala prehliadač Tor a nasledovala odkaz uvedený v textových súboroch / tapetách. Webová stránka obsahuje pokyny na uskutočnenie platby.

Nie je zaručené, že aj po vykonaní platby budú súbory obetí dešifrované. Ale zvyčajne na ochranu svojej „reputácie“ sa autori ransomvéru zvyčajne držia svojej časti dohody.

Locky Ransomware sa mení z .wsf to .Rozšírenie LNK

Uverejnite tento vývoj tento rok vo februári; Infekcie Locky ransomware sa postupne znižovali s menšími detekciami domény Nemucod, ktorými Locky infikuje počítače. (Nemucod je a .súbor wsf obsiahnutý v .prílohy v spamu). Ako však uvádza Microsoft, autori Locky zmenili prílohu z .súbory wsf do skratkové súbory (.LNK), ktoré obsahujú príkazy PowerShellu na stiahnutie a spustenie Locky.

Nižšie uvedený príklad nevyžiadanej pošty ukazuje, že je vyrobený s cieľom prilákať okamžitú pozornosť používateľov. Posiela sa s vysokou dôležitosťou as náhodnými znakmi v riadku predmetu. Telo e-mailu je prázdne.

Spamový e-mail je zvyčajne pomenovaný tak, ako Bill prichádza s .zipsový doplnok, ktorý obsahuje .Súbory LNK. Pri otvorení .zips, používatelia spustia reťaz infekcie. Táto hrozba je detekovaná ako TrojanDownloader: PowerShell / Ploprolo.A. Keď sa skript PowerShell úspešne spustí, stiahne a vykoná Locky v dočasnom priečinku, ktorý dokončí reťazec infekcie.

Typy súborov, na ktoré je zameraný Locky Ransomware

Ďalej uvádzame typy súborov, na ktoré je zameraný ransomvér Locky.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .potkan, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .môj D, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .Lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .sivá, .sivá, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .plaziť sa, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .záliv, .breh, .backupdb, .záloha, .späť, .awg, .apj, .ait, .agdl, .reklamy, .príd, .akr, .ach, .prírastok, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .skupiny, .flvv, .edb, .dit, .dat, .cmt, .kôš, .aiff, .xlk, .chuchvalec, .tlg, .povedať, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .olej, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .dizajn, .ddd, .dcr, .dac, .cdx, .cdf, .zmes, .bkp, .adp, .konať, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .bodka, .cpi, .kl, .cdr, .arw, .aac, .thm, .srt, .uložiť, .bezpečné, .pwm, .strán, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .konfigur, .porov, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .tampón, .rtf, .prf, .ppt, .oab, .správa, .mapimail, .jnt, .doc, .dbx, .kontakt, .stredná, .wma, .flv, .mkv, .mov, .avi, .asf, .MPEG, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .peňaženka, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .kováč, .das, .d3dbsp, .bsa, .bicykel, .aktívum, .apk, .gpg, .aes, .ARC, .PAQ, .decht.bz2, .tbk, .bak, .decht, .tgz, .rar, .PSČ, .djv, .djvu, .svg, .bmp, .png, .gif, .surový, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .netopier, .trieda, .jar, .java, .asp, .brd, .sch, .dch, .ponor, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MÔJ D, .frm, .odb, .dbf, .mdb, .štvorcový, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .položiť6, .ležať, .ms11 (bezpečnostná kópia), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .hrniec, .pps, .sti, .sxi, .otp, .odp, .týžd, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .rozdiel, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .BODKA, .max, .xml, .TXT, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .CSR, .crt, .ke.

Ako zabrániť útoku Locky Ransomware

Locky je nebezpečný vírus, ktorý predstavuje vážnu hrozbu pre váš počítač. Odporúčame vám postupovať podľa týchto pokynov, aby ste zabránili ransomvéru a zabránili infikovaniu.

  1. Vždy majte anti-malware softvér a anti-ransomware softvér chrániaci váš PC a pravidelne ho aktualizujte.
  2. Aktualizujte si operačný systém Windows a ostatný softvér tak, aby ste minimalizovali možné zneužitie softvéru.
  3. Pravidelne si zálohujte dôležité súbory. Je dobrou voľbou mať ich uložené offline ako v cloudovom úložisku, pretože aj tam sa môže vírus dostať
  4. Zakážte načítanie makier v programoch balíka Office. Otvorenie infikovaného súboru dokumentu Word by sa mohlo ukázať ako riskantné!
  5. Neotvárajte slepo poštu v sekciách „Spam“ alebo „Nevyžiadaná pošta“. To by vás mohlo presvedčiť, aby ste otvorili e-mail s malvérom. Pred kliknutím na webové odkazy na webových stránkach alebo v e-mailoch alebo pred stiahnutím e-mailových príloh od odosielateľov, ktorých nepoznáte, si ich premyslite. Takéto prílohy neklikajte ani neotvárajte:
    1. Súbory s .Rozšírenie LNK
    2. Súbory s.rozšírenie wsf
    3. Súbory s príponou s dvojitými bodkami (napríklad profil-p29d ... wsf).

Čítať: Čo robiť po útoku ransomvéru na váš počítač so systémom Windows?

Ako dešifrovať Locky Ransomware

Pre ransomvér Locky nie sú odteraz k dispozícii žiadne dešifrovače. Decryptor od Emsisoft však možno použiť na dešifrovanie súborov šifrovaných pomocou AutoLocky, ďalší ransomvér, ktorý tiež premenuje súbory na .bohato rozšírený. AutoLocky používa skriptovací jazyk AutoI a snaží sa napodobniť zložitý a prepracovaný ransomvér Locky. Kompletný zoznam dostupných nástrojov na dešifrovanie ransomvéru nájdete tu.

Zdroje a pôžičky: Microsoft | BleepingComputer | PCRisk.

Myš Recenzia bezdrôtovej myši Microsoft Sculpt Touch
Recenzia bezdrôtovej myši Microsoft Sculpt Touch
Nedávno som čítal o Microsoft Sculpt Touch bezdrôtová myš a rozhodol sa ju kúpiť. Po chvíli používania som sa rozhodol s ním podeliť o svoje skúsenost...
Myš Trackpad a ukazovateľ myši AppyMouse na obrazovke pre tablety so systémom Windows
Trackpad a ukazovateľ myši AppyMouse na obrazovke pre tablety so systémom Windows
Používateľom tabletov často chýba ukazovateľ myši, najmä keď notebooky bežne používajú. Dotykové smartphony a tablety majú veľa výhod a jediným obmedz...
Myš Stredné tlačidlo myši nefunguje v systéme Windows 10
Stredné tlačidlo myši nefunguje v systéme Windows 10
The stredné tlačidlo myši pomáha vám prechádzať dlhé webové stránky a obrazovky s množstvom údajov. Ak sa to zastaví, budete nakoniec používať klávesn...