Locky Ransomware смертельно опасен! Вот все, что вам следует знать об этом вирусе.

Локки это название программы-вымогателя, которая развивалась поздно благодаря постоянному обновлению алгоритма его авторами. Locky, как следует из названия, переименовывает все важные файлы на зараженном ПК, давая им расширение .запертый и требует выкуп за ключи дешифрования.

Блокируемая программа-вымогатель - Evolution

В 2016 году количество программ-вымогателей выросло тревожными темпами. Он использует электронную почту и социальную инженерию для входа в ваши компьютерные системы. В большинстве писем с прикрепленными вредоносными документами упоминался популярный штамм-вымогатель Locky. Среди миллиардов сообщений, содержащих вложения вредоносных документов, около 97% содержали вымогатель Locky, что на 64% больше, чем в первом квартале 2016 года, когда оно было обнаружено впервые.

В Блокируемая программа-вымогатель был впервые обнаружен в феврале 2016 года и, как сообщается, был отправлен полумиллиону пользователей. Локки оказался в центре внимания, когда в феврале этого года Голливудский пресвитерианский медицинский центр заплатил выкуп в биткойнах в размере 17000 долларов за ключ дешифрования данных пациента. Локки заразил данные больницы через вложение электронной почты, замаскированное под счет Microsoft Word.

С февраля Locky объединяет свои расширения в цепочку, чтобы обмануть жертв, что они были заражены другой программой-вымогателем. Локки начал изначально переименовывать зашифрованные файлы в .запертый и к тому времени, когда наступило лето, он превратился в .зепто расширение, которое использовалось в нескольких кампаниях с.

Последнее, что слышал, теперь Локки шифрует файлы с помощью .ODIN расширение, пытаясь запутать пользователей, что это на самом деле вымогатель Odin.

Locky Ransomware

Locky вымогательское ПО в основном распространяется через рассылку спама, проводимую злоумышленниками. Эти спам-письма в основном .doc файлы как вложения которые содержат зашифрованный текст, выглядящий как макросы.

Типичное электронное письмо, используемое в распространении программ-вымогателей Locky, может содержать счет-фактуру, привлекающий наибольшее внимание пользователя, например,

Тема письма может быть - «ВНИМАНИЕ: счет-фактура P-12345678», зараженное вложение - «invoice_P-12345678.док"(Содержит макросы, которые загружают и устанавливают вымогателей Locky на компьютеры):"

И текст сообщения электронной почты - «Уважаемый! Просмотрите прикрепленный счет (документ Microsoft Word) и произведите оплату в соответствии с условиями, указанными в нижней части счета. Дайте нам знать, если у вас есть какие-либо вопросы. Мы очень ценим ваш бизнес!”

Как только пользователь включает настройки макроса в программе Word, на ПК загружается исполняемый файл, который на самом деле является программой-вымогателем. После этого различные файлы на компьютере жертвы шифруются программой-вымогателем, давая им уникальные 16-значные комбинации имен с .дерьмо, .Тор, .запертый, .зепто или же .Один расширения файлов. Все файлы зашифрованы с использованием RSA-2048 а также AES-1024 алгоритмы и требуют для дешифрования секретный ключ, хранящийся на удаленных серверах, контролируемых киберпреступниками.

После того, как файлы зашифрованы, Locky генерирует дополнительный .текст а также _HELP_instructions.html файл в каждой папке, содержащей зашифрованные файлы. Этот текстовый файл содержит сообщение (как показано ниже), информирующее пользователей о шифровании.

Далее в нем говорится, что файлы можно расшифровать только с помощью дешифратора, разработанного киберпреступниками и .5 биткойн. Следовательно, чтобы вернуть файлы, жертве предлагается установить браузер Tor и перейти по ссылке, содержащейся в текстовых файлах / обоях. На сайте есть инструкция по оплате.

Нет гарантии, что даже после совершения платежа файлы жертвы будут расшифрованы. Но обычно для защиты своей «репутации» авторы вымогателей обычно придерживаются своей части сделки.

Locky Ransomware меняется с .WSF в .Расширение LNK

Опубликуйте его эволюцию в этом году в феврале; Число заражений блокируемыми программами-вымогателями постепенно уменьшалось с меньшими обнаружениями Немукод, который Локки использует для заражения компьютеров. (Nemucod - это .wsf файл, содержащийся в .zip вложения в спам-сообщениях). Однако, как сообщает Microsoft, авторы Locky изменили вложение с .wsf файлы к файлы ярлыков (.LNK extension), которые содержат команды PowerShell для загрузки и запуска Locky.

Пример письма со спамом ниже показывает, что оно сделано для того, чтобы сразу привлечь внимание пользователей. Он отправляется с высокой важностью и со случайными символами в строке темы. Тело письма пусто.

В спам-письмах обычно говорится, что Билл прибывает с .застежка-молния, которая содержит .Файлы LNK. Открывая .zip-вложение, пользователи запускают цепочку заражения. Эта угроза обнаруживается как TrojanDownloader: PowerShell / Ploprolo.А. Когда сценарий PowerShell успешно запускается, он загружает и выполняет Locky во временной папке, завершая цепочку заражения.

Типы файлов, на которые нацелена Locky Ransomware

Ниже приведены типы файлов, на которые нацелена программа-вымогатель Locky.

.юв, .ycbcra, .xis, .wpd, .текс, .sxg, .stx, .srw, .SRF, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .крыса, .раф, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .PDD, .другие, .orf, .odm, .odf, .нью-йорк, .nxl, .nwb, .nrw, .нет, .неф, .ndd, .myd, .MRW, .Moneywell, .мны, .ммв, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ибанк, .hbk, .грустный, .серый, .серый, .fhd, .ffd, .exf, .эрф, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .дер, .ddrw, .ddoc, .DC, .db_journal, .csl, .csh, .crw, .зоб, .Cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .залив, .банк, .backupdb, .резервное копирование, .назад, .awg, .apj, .сидеть, .agdl, .Объявления, .adb, .акр, .ах, .аккдт, .accdr, .Accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .пиф, .PDB, .паб, .ост, .ogg, .NVRAM, .ndf, .m2ts, .бревно, .hpp, .жесткий диск, .группы, .flvv, .edb, .dit, .Дат, .cmt, .мусорное ведро, .aiff, .xlk, .пачка, .tlg, .сказать, .sas7bdat, .куб.м, .qbb, .ptx, .pfx, .pef, .погладить, .масло, .odc, .нш, .нсг, .NSF, .нсд, .мос, .indd, .iif, .fpx, .fff, .fdb, .dtd, .дизайн, .ддд, .DCR, .цап, .cdx, .cdf, .смешивать, .бкп, .adp, .действовать, .XLR, .xlam, .xla, .wps, .tga, .pspimage, .процент, .pcd, .FXG, .флак, .eps, .dxb, .drw, .точка, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .спасти, .безопасный, .шим, .страницы, .объект, .млб, .mbx, .горит, .laccdb, .кВт, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .Cer, .asx, .aspx, .аой, .accdb, .7zip, .xls, .ваб, .rtf, .прф, .ppt, .оаб, .сообщение, .mapimail, .jnt, .док, .dbx, .контакт, .середина, .WMA, .flv, .мкв, .mov, .avi, .asf, .mpeg, .vob, .миль на галлон, .WMV, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .кошелек, .upk, .Sav, .ltx, .litesql, .litemod, .фунт-сила, .иви, .ковать, .das, .d3dbsp, .bsa, .байк, .актив, .apk, .gpg, .AES, .ARC, .PAQ, .деготь.bz2, .tbk, .бак, .деготь, .тгз, .рар, .застегивать, .djv, .djvu, .svg, .BMP, .PNG, .гифка, .сырой, .cgm, .jpeg, .jpg, .тиф, .размолвка, .NEF, .psd, .cmd, .летучая мышь, .класс, .банка, .Ява, .жерех, .brd, .щ, .dch, .окунать, .vbs, .как м, .па, .cpp, .php, .ldf, .мдф, .ibd, .МОЕ Я, .MYD, .от, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .Тихоокеанское стандартное время, .onetoc2, .asc, .Lay6, .класть, .ms11 (защитная копия), .sldm, .sldx, .ppsm, .ppsx, .ppam, .докб, .ммл, .sxm, .otg, .odg, .уп, .potx, .Potm, .pptx, .pptm, .стандартное, .sxd, .горшок, .pps, .sti, .sxi, .отп, .odp, .нед, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .XLM, .xlc, .дифф, .stc, .sxc, .ots, .оды, .hwp, .dotm, .dotx, .документ, .docx, .ТОЧКА, .Максимум, .xml, .текст, .CSV, .уот, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .отт, .odt, .DOC, .pem, .csr, .crt, .ke.

Как предотвратить атаку Locky Ransomware

Locky - опасный вирус, представляющий серьезную угрозу для вашего ПК. Рекомендуется следовать этим инструкциям, чтобы предотвратить программы-вымогатели и избежать заражения.

1. Всегда имейте при себе программное обеспечение для защиты от вредоносных программ и программ-вымогателей, защищающее ваш компьютер, и регулярно обновляйте его.
2. Обновите операционную систему Windows и остальное программное обеспечение до последней версии, чтобы предотвратить возможные программные эксплойты.
3. Регулярно создавайте резервные копии важных файлов. Это хороший вариант, чтобы сохранить их в автономном режиме, а не в облачном хранилище, поскольку вирус также может проникнуть туда
4. Отключить загрузку макросов в программах Office. Открытие зараженного файла документа Word может оказаться рискованным!
5. Не открывайте вслепую почту в разделах "Спам" или "Нежелательная почта". Это может заставить вас открыть электронное письмо, содержащее вредоносное ПО. Подумайте, прежде чем нажимать на веб-ссылки на веб-сайтах или в электронных письмах или загружать вложения электронной почты от отправителей, которых вы не знаете. Не нажимайте и не открывайте такие вложения:

1. Файлы с .Расширение LNK
2. Файлы с.расширение wsf
3. Файлы с расширением двойной точки (например, profile-p29d… wsf).

Читать: Что делать после атаки программ-вымогателей на ваш компьютер с Windows?

Как расшифровать Locky Ransomware

На данный момент нет доступных дешифраторов для вымогателей Locky. Однако Decryptor от Emsisoft может использоваться для расшифровки файлов, зашифрованных с помощью AutoLocky, еще одна программа-вымогатель, которая также переименовывает файлы в .блокируемое расширение. AutoLocky использует язык сценариев AutoI и пытается имитировать сложную и изощренную программу-вымогатель Locky. Вы можете увидеть полный список доступных инструментов дешифрования программ-вымогателей здесь.

Источники и кредиты: Microsoft | BleepingComputer | PCRisk.