Locky Ransomware on tappava! Tässä on kaikki, mitä sinun pitäisi tietää tästä viruksesta.

Locky on Ransomware, joka on kehittynyt myöhään, jatkuvan algoritmin päivityksen ansiosta sen kirjoittajat. Locky, kuten sen nimen mukaan ehdottaa, nimeää kaikki tärkeät tiedostot tartunnan saaneesta tietokoneesta antaen heille laajennuksen.locky ja vaatii lunastuksen salausavaimia.

Locky ransomware - Evolution

Ransomware on kasvanut hälyttävästi vuonna 2016. Se käyttää Sähköposti & Sosiaalitieteitä päästäksesi tietokonejärjestelmiisi. Useimmat sähköpostiviestit, joissa oli haitallisia asiakirjoja, sisältyivät suosittuun irrottauslajiin Locky. Miljoonat viestit, jotka käyttivät haitallisia dokumenttiliitteitä, noin 97% oli Locky-ransomware, joka on hälyttävän 64% suurempi kuin Q1 2016, kun se havaittiin ensimmäisen kerran.

Locky ransomware Helmikuussa 2016 ja lähetettiin tiedoksi puolitoista käyttäjälle. Locky tuli parrasvaloihin, kun tämän vuoden helmikuussa Hollywood Presbyterian Medical Center maksoi 17 000 dollarin Bitcoin-lunnauksen potilastietojen salauksen avaimelle. Locky tartuttaa sairaalan tiedot sähköpostin liitetiedostona, joka on naamioitu Microsoft Word -laskuun. Helmikuusta alkaen Locky on ketjuttanut laajennuksiaan houkuttelevaksi uhreiksi, että he ovat saaneet tartunnan toisesta Ransomware-ohjelmasta. Locky alkoi alun perin salata salatut tiedostot

.locky ja kesäaikaan se muuttui .zepto laajennukseksi, jota on käytetty useissa kampanjoissa. Viime kuulla, Locky on nyt salaa tiedostoja

.ODIN -laajennuksella, yrittäen sekoittaa käyttäjiä siihen, että se on oikeastaan ​​Odinin ransomware. Locky Ransomware

Locky ransomware levittyy pääasiassa hyökkääjien roskapostiviestikampanjoiden avulla. Nämä roskapostiviestit ovat lähinnä

.doc-tiedostoja liitteinä , jotka sisältävät sekaisin tekstiä, jotka näyttävät olevan makroja. Tyypillinen Locky ransomware -jakeluun käytetty sähköposti voi olla lasku, joka saa suurimman osan käyttäjän huomion.

Sähköpostikohta voi olla -

"ATTN: Lasku P-12345678", tartunnan saaneesta liitetiedostosta - " invoice_P-12345678.doc " (sisältää makroja, jotka lataavat ja asentavat Lockyn ransomware tietokoneisiin): " Ja Sähköposti-elin -" Hyvä joku, katso liitteenä oleva lasku (Microsoft Word -asiakirja) ja lähetä maksu laskun alaosassa luetelluilla ehdoilla. Kerro meille, onko sinulla kysyttävää. Arvostamme yrityksesi! "

Kun käyttäjä ottaa makroasetukset käyttöön Word-ohjelmassa, tietokoneelle ladataan tällöin suoritustiedosto, joka on oikeastaan ​​ransomware. Tämän jälkeen ransomware antaa salasanan eri tiedostoja uhrin PC: lle, joka antaa heille ainutlaatuisen 16-kirjaimisen yhdistetyn nimimerkin

.shit , .thor , .locky.zepto tai .odin tiedostojen laajennukset. Kaikki tiedostot salataan RSA-2048 ja AES-1024 -algoritmeilla ja vaativat yksityisen avaimen, joka on tallennettu etäpalvelimille, joita tietokonevirkamies hallitsee salauksen purkamiseen. salataan, Locky luo ylimääräisen

.txt ja _HELP_instructions.html -tiedoston jokaiseen kansioon, joka sisältää salattuja tiedostoja. Tämä tekstitiedosto sisältää viestin (kuten alla), joka ilmoittaa salauksen käyttäjille. Lisäksi todetaan, että tiedostoja voidaan purkaa vain tietoverkkorikollisten kehittämästä decrypteristä ja kustannuksista.5 BitCoin. Jotta tiedostot saadaan takaisin, uhrin pyydetään asentamaan Tor-selain ja seuraamaan tekstitiedostoissa tai taustakuvassa olevaa linkkiä. Sivustolla on ohjeet maksujen suorittamiseen.

Ei ole takeita siitä, että vaikka maksuhäiriötiedostojen salaus puretaan. Mutta tavallisesti sen maineensa suojelemiseksi ransomware-kirjoittajat pitävät yleensä osuutensa kaupasta.

Locky Ransomware vaihtaa.wsf: stä.LNK-laajennukseen

Julkaise sen evoluution tänä vuonna helmikuussa; Locky-ransomware-infektiot ovat vähentyneet vähäisemmässä määrin

Nemucod -antureissa, joita Locky käyttää infektoimaan tietokoneita. (Nemucod on.wsf-tiedosto, joka sisältää.zip-liitteitä roskapostiviesteissä). Kuten Microsoftin raportit, Locky-kirjoittajat ovat kuitenkin vaihtaneet liitetiedoston .wsf-tiedostojaoikotietiedostoja (.LNK-laajennusta), jotka sisältävät PowerShell-komentoja Lockyn lataamiseen ja suorittamiseen. Esimerkki alla olevasta roskapostiviestistä osoittaa, että se on herättänyt välittömän huomion käyttäjiltä. Se lähetetään erittäin tärkeäksi ja satunnaisiksi merkiksi aihealueelle. Sähköpostin runko on tyhjä. Roskapostiviesti, joka on tyypillisesti nimeltään Bill, saapuu.zip-liitetiedostolla, joka sisältää.LNK-tiedostot. Avaamalla.zip-liitetiedoston käyttäjät aktivoivat tartuntoketjun. Tämä uhka tunnistetaan

TrojanDownloader: PowerShell / Ploprolo.A

. Kun PowerShell-komentotiedosto onnistui, se lataa ja suorittaa Lockyn väliaikaisen kansion, joka täyttää tarttumisketjun. Locky Ransomware -ohjelman kohdatut tiedostotyypit Alla on Locky ransomware -ohjelman kohteena olevat tiedostotyypit.

.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.xl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.add,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q lehmä,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.ifi,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.ac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,. accdb,.7zip,.xls,.wab, ​​.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (turvakopio),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pw,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Miten estää Locky Ransomwaren hyökkäys

Locky on vaarallinen virus, jolla on vakava uhka tietokoneellesi.

Käytä aina haittaohjelmien torjuntaohjelmistoa ja anti-ransomware-ohjelmistoa, joka suojaa tietokonetta ja päivittää sitä säännöllisesti.

Päivitä Windows-käyttöjärjestelmä ja muut ohjelmistot ajan tasalla lievittämään mahdollisia ohjelmistotoimia.

1. Varmuuskopioi tärkeät tiedostot säännöllisesti. On hyvä vaihtoehto, että ne tallennetaan offline-tilassa kuin pilvitallennuksessa, koska virus voi päästä sinne myös
2. Poista makrojen lataaminen Office-ohjelmista. Saastuneen Word-asiakirjatiedoston avaaminen voi osoittautua vaaralliseksi!
3. Älä sokea avaa postia "Roskapostin" tai "Junk" -osiossa. Tämä voi huijata sinua avaamaan haittaohjelmia sisältävän sähköpostiviestin. Ajattele, ennen kuin napsautat verkkosivustojen tai sähköpostiviestien linkkejä tai lataat sähköpostiosoitteita lähettäjiltä, ​​joita et tiedä. Älä napsauta tai avaa tällaisia ​​liitetiedostoja:
4. Tiedostot, joilla on.LNK-laajennus
5. Files with.wsf-laajennus
1. Tiedostot, joissa on kaksoispisteen pituus (esimerkiksi profiili-p29d … wsf)
2. Lue
3. : Mitä tehdä Ransomwaren hyökkäyksen jälkeen Windows-tietokoneellesi?

Locky Ransomwaren purkaminen Locky ransomware ei ole tällä hetkellä saatavilla purkuohjelmia. Emsisoftin Decryptorilla voidaan kuitenkin purkaa

AutoLocky

-kopiotiedostot, toinen ransomware, joka myös nimeää tiedostoja.locky-laajennukseen. AutoLocky käyttää scriptia kieltä AutoI ja yrittää jäljitellä monimutkaista ja hienostunutta Locky-ransomware-ohjelmistoa. Näet täydellisen luettelon käytettävissä olevista ransomware decryptor-työkaluista. Lähteet & Laitokset : Microsoft | BleepingComputer | PCRisk.