2023 Pengarang: Peter John Melton | [email protected]. Diubah suai terakhir: 2023-11-26 11:12
Locky adalah nama Ransomware yang telah berubah sejak lewat, terima kasih kepada peningkatan algoritma yang berterusan oleh pengarangnya. Locky, seperti yang dicadangkan oleh namanya, mengubah nama semua fail penting pada PC yang dijangkiti memberikannya lanjutan .locky dan menuntut tebusan untuk kunci penyahsulitan.
Locky ransomware - Evolution
Ransomware telah berkembang pada kadar yang membimbangkan pada tahun 2016. Ia menggunakan E-mel & Kejuruteraan Sosial untuk memasukkan sistem komputer anda. Kebanyakan e-mel dengan dokumen berniat jahat melampirkan ciri popular ransomware Locky. Di antara berbilion-bilion mesej yang menggunakan lampiran dokumen yang berniat jahat, sekitar 97% menampilkan Locky ransomware, yang merupakan peningkatan 64% yang membimbangkan dari Q1 2016 apabila ia mula-mula ditemui.
The Locky ransomware pertama kali dikesan pada Februari 2016 dan dilaporkan dihantar kepada setengah juta pengguna. Locky datang ke perhatian pada bulan Februari tahun ini Pusat Perubatan Hollywood Presbyterian membayar tebusan $ 17,000 Bitcoin untuk kunci penyahsulitan untuk data pesakit. Data Hospital Locky yang dijangkiti melalui lampiran e-mel yang disamar sebagai invois Microsoft Word.
Sejak Februari, Locky telah melancarkan sambungannya dalam usaha menipu mangsa bahawa mereka telah dijangkiti oleh Ransomware yang berbeza. Locky mula mula menamakan semula fail yang disulitkan kepada .locky dan pada masa musim panas tiba ia berkembang menjadi .zepto lanjutan, yang telah digunakan dalam pelbagai kempen sejak.
Terakhir dengar, Locky kini menyulitkan fail dengan .ODIN sambungan, cuba mengelirukan pengguna bahawa sebenarnya Rindomware Odin itu.
Locky Ransomware
Locky ransomware terutamanya menyebar melalui kempen e-mel spam yang dijalankan oleh penyerang. E-mel spam ini kebanyakannya .doc fail sebagai lampiran yang mengandungi teks rawak yang muncul sebagai makro.
E-mel tipikal yang digunakan dalam pengedaran ransom Locky mungkin merupakan invois yang menarik perhatian pengguna, Sebagai contoh,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Setelah pengguna mengaktifkan tetapan makro dalam program Word, file yang boleh dijalankan yang sebenarnya adalah ransomware yang dimuat turun di PC. Selepas itu, pelbagai fail pada PC mangsa disulitkan oleh ransomware yang memberi mereka 16 huruf unik - gabungan nama gabungan dengan .shit, .thor, .locky, .zepto atau .odin sambungan fail. Semua fail disulitkan dengan menggunakan RSA-2048 dan AES-1024 algoritma dan memerlukan kunci persendirian yang disimpan pada pelayan jauh yang dikawal oleh penjenayah siber untuk penyahsulitan.
Sebaik sahaja fail disulitkan, Locky menjana tambahan .txt dan _HELP_instructions.html fail dalam setiap folder yang mengandungi fail yang disulitkan. Fail teks ini mengandungi mesej (seperti yang ditunjukkan di bawah) yang memberitahu pengguna penyulitan.
Locky Ransomware berubah dari.wsf ke sambungan LNK
Melancarkan evolusi tahun ini pada bulan Februari; Jangkitan ransomware Locky telah beransur-ansur menurun dengan pengesanan yang lebih rendah Nemucod, yang menggunakan Locky untuk menjangkiti komputer. (Nemucod adalah fail.wsf yang terdapat dalam lampiran.zip dalam e-mel spam). Bagaimanapun, seperti laporan Microsoft, pengarang Locky telah menukar lampiran dari .wsf fail kepada fail pintasan (Sambungan LNK) yang mengandungi arahan PowerShell untuk memuat turun dan menjalankan Locky.
Contoh e-mel spam di bawah menunjukkan bahawa ia dibuat untuk menarik perhatian segera dari pengguna. Ia dihantar dengan kepentingan yang tinggi dan dengan aksara rawak dalam baris subjek. Badan email kosong.
E-mel spam biasanya menyebut nama Bill tiba dengan lampiran.zip, yang mengandungi fail LNK. Dalam membuka lampiran.zip, pengguna mencetuskan rantaian jangkitan. Ancaman ini dikesan sebagai TrojanDownloader: PowerShell / Ploprolo.A. Apabila skrip PowerShell berjaya berjalan, ia memuat turun dan melaksanakan Locky dalam folder sementara yang melengkapkan rantaian jangkitan.
Jenis fail yang disasarkan oleh Locky Ransomware
Di bawah adalah jenis fail yang disasarkan oleh Locky ransomware.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Bagaimana untuk mencegah serangan Locky Ransomware
Locky adalah virus berbahaya yang mempunyai ancaman serius kepada PC anda. Anda disarankan agar anda mematuhi arahan ini untuk menghalang ransomware dan mengelakkan dijangkiti.
- Sentiasa ada perisian anti-malware dan perisian anti-ransomware yang melindungi PC anda dan mengemas kini secara tetap.
- Kemas kini OS Windows anda dan seluruh perisian anda yang terkini untuk mengurangkan kemungkinan eksploitasi perisian.
- Sandarkan fail penting anda dengan kerap. Ia adalah pilihan yang baik untuk membuat mereka disimpan di luar talian daripada penyimpanan awan kerana virus juga boleh sampai di sana
- Lumpuhkan pemuatan Macros dalam program Office. Membuka fail dokumen Word yang dijangkiti boleh membuktikan berisiko!
- Jangan buka secara membuta tuli dalam bahagian e-mel 'Spam' atau 'Junk'. Ini boleh menipu anda untuk membuka e-mel yang mengandungi malware itu. Fikirkan sebelum mengklik pautan web di tapak web atau e-mel atau memuat turun lampiran e-mel dari pengirim yang anda tidak tahu. Jangan klik atau buka lampiran sedemikian:
- Fail dengan sambungan LNK
- Sambungan files with.wsf
- Fail dengan pelanjutan dot dua (contohnya, profil-p29d..wsf).
Baca: Apa yang perlu dilakukan selepas serangan Ransomware pada komputer Windows anda?
Bagaimana untuk menyahsulit Locky Ransomware
Setakat ini, tidak ada pengarang yang tersedia untuk Locky ransomware. Walau bagaimanapun, Decryptor dari Emsisoft boleh digunakan untuk menyahsulitkan fail yang disulitkan oleh AutoLocky, satu lagi ransomware yang juga mengubah nama fail ke sambungan.locky. AutoLocky menggunakan bahasa scripting AutoI dan cuba meniru ransomware Locky yang rumit dan canggih. Anda dapat melihat senarai lengkap alat decryptor ransomware yang tersedia di sini.
Sumber & Kredit: Microsoft | BleepingComputer | PCRisk.
Disyorkan:
Semua Yang Anda Perlu Tahu Mengenai Bermula dengan Raspberry Pi
Sekarang lebih dari empat tahun, Raspberry Pi, komputer berukuran kad kredit murah, telah mengambil dunia pengkomputeran dan DIY dengan ribut. Membaca semasa kami membimbing anda melalui segala-galanya dari membeli ke powering untuk menjalankan dinamo kecil.
Semua Yang Anda Perlu Tahu Mengenai Fail Zip
Fail zip boleh digunakan untuk banyak perkara yang berbeza. Mampatan fail, penyulitan, arkib yang berpecah, dan banyak lagi adalah hanya beberapa klik sahaja apabila anda memahami perkara yang berbeza yang boleh dikekalkan oleh arkib zip.
Semua Yang Anda Perlu Tahu Mengenai "Reset PC Ini" di Windows 8 dan 10
Windows 10 termasuk pilihan "Tetapkan semula PC anda" yang dengan cepat mengembalikan Windows ke konfigurasi lalai kilangnya. Lebih cepat dan lebih mudah daripada memasang semula Windows dari awal atau menggunakan partition pemulihan pengeluar anda.
Semua Yang Anda Perlu Tahu Mengenai Percetakan Dari Telefon Android atau Tablet Anda
Jika anda seorang pendatang baru Android, percetakan mungkin kelihatan seperti tidak ada pemikiran: klik menu, ketuk perintah. Tetapi jika anda seorang pengguna Android lama, anda mungkin masih ingat bagaimana percetakan dari telefon bimbit anda mendapat permulaannya. Berita baiknya adalah lebih mudah berbanding sebelum ini untuk mencetak dari peranti Android anda.
Semua Yang Anda Perlu Tahu Mengenai Menonton Media DRM'd di Linux
Segala-galanya mempunyai DRM pada masa ini, dan sementara Netflix, Amazon Video, Hulu, dan juga DVD dan Blu-ray "hanya bekerja" pada kebanyakan sistem, pengguna Linux selalu perlu melakukan lebih banyak kerja. Berikut adalah cara pencinta penguin dapat mendapatkan semua perkhidmatan yang berfungsi pada mesin mereka.
