Lunavara

Locky Ransomware on surmav! Siin on kõik, mida peaksite selle viiruse kohta teadma.

Locky Ransomware on surmav! Siin on kõik, mida peaksite selle viiruse kohta teadma.

Lukustatud on lunavara nimi, mis on arenenud hilja, tänu selle autorite pidevale algoritmide täiendamisele. Locky nimetab selle nime järgi kõik nakatunud arvutis olevad olulised failid ümber, andes neile laienduse .lukus ja nõuab dekrüpteerimisvõtmete eest lunaraha.

Lukustatud lunavara - Evolution

Lunavara on 2016. aastal murettekitava kiirusega kasvanud. Teie arvutisüsteemidesse sisenemiseks kasutatakse e-posti ja sotsiaaltehnikat. Enamik pahatahtlike dokumentidega e-kirju sisaldas populaarset lunavara tüvi Locky. Miljarditest kirjadest, mis kasutasid pahatahtlikke dokumendimanuseid, esines Locky lunavara umbes 97% -l, mis on murettekitav 64% suurem kui 2016. aasta I kvartalis, kui see esmakordselt avastati.

The Lukustatud lunavara avastati esmakordselt 2016. aasta veebruaris ja see saadeti väidetavalt poolele miljonile kasutajale. Locky sattus rambivalgusse, kui selle aasta veebruaris maksis Hollywoodi presbüteria meditsiinikeskus patsiendiandmete dekrüpteerimisvõtme eest 17 000 dollarit Bitcoini lunaraha. Locky nakatas haigla andmeid e-posti manuse kaudu, mis oli varjatud Microsoft Wordi arvena.

Alates veebruarist on Locky aheldanud oma laiendusi, et petta ohvreid, et nad on nakatunud teise lunavara abil. Locky hakkas krüptitud failid algselt ümber nimetama .lukus ja suve saabudes kujunes sellest välja .seepto laiendus, mida on alates aastast kasutatud mitmes kampaanias.

Viimati kuuldud, krüpteerib Locky nüüd faile rakendusega .ODIN laiendus, üritades kasutajaid segadusse ajada, et see on tegelikult Odini lunavara.

Lukustatud lunavara

Locky lunavara levib peamiselt ründajate korraldatud rämpspostikampaaniate kaudu. Nendel rämpspostimeilidel on enamasti .doc-failid manusena mis sisaldavad krüptitud teksti, mis näib olevat makrod.

Locky lunavara levitamisel kasutatav tüüpiline e-posti aadress võib olla näiteks arve, mis köidab enamiku kasutajate tähelepanu,

E-posti teema võiks olla - „ATTN: arve P-12345678”, nakatunud manus - “arve_P-12345678.doc”(Sisaldab makrosid, mis laadivad alla ja installivad Locky lunavara arvutisse):”

Ja e-posti keha - „Kallis keegi, palun vaata lisatud arvet (Microsoft Wordi dokument) ja tasu makse vastavalt arve allservas loetletud tingimustele. Andke meile teada, kui teil on küsimusi. Hindame teie ettevõtet väga!”

Kui kasutaja lubab Wordi programmis makrosätted, laaditakse arvutisse alla käivitatav fail, mis on tegelikult lunavara. Seejärel krüptib lunavara ohvri arvutis olevad erinevad failid, andes neile ainulaadsed 16-kohalised kombineeritud nimed .jama, .thor, .lukus, .seepto või .odin faililaiendid. Kõik failid krüpteeritakse, kasutades RSA-2048 ja AES-1024 algoritme ja vajavad dekrüpteerimiseks küberkurjategijate kontrollitavatesse kaugserveritesse salvestatud privaatvõtit.

Kui failid on krüptitud, loob Locky täiendava .txt ja _HELP_juhised.HTML fail igas krüptitud faile sisaldavas kaustas. See tekstifail sisaldab sõnumit (nagu allpool näidatud), mis teavitab kasutajaid krüptimisest.

Lisaks öeldakse, et faile saab dekrüpteerida ainult küberkurjategijate välja töötatud dekrüpteerija abil ja .5 BitCoin. Seega palutakse ohvril failide taastamiseks installida Tori brauser ja järgida tekstifailides / taustpildil olevat linki. Veebisait sisaldab juhiseid makse sooritamiseks.

Pole mingit garantiid, et isegi pärast makse tegemist ohvri failid dekrüpteeritakse. Kuid tavaliselt hoiavad lunavara autorid oma "maine" kaitsmiseks kinni oma tehingu osast.

Locky Ransomware muutub alates .wsf kuni .LNK laiendus

Postitage selle aasta areng veebruaris; Lukustatud lunavara nakatumine on järk-järgult vähenenud Nemucod, mida Locky kasutab arvutite nakatamiseks. (Nemucod on a .wsf-fail sisaldub .zip-manused rämpspostis). Kuid nagu Microsoft teatab, on Locky autorid muutnud manuse versioonist .wsf-failid kuni otseteefailid (.LNK laiendus), mis sisaldavad PowerShelli käske Locky allalaadimiseks ja käitamiseks.

Allpool olev näide rämpspostist näitab, et see on loodud kasutajate viivitamatu tähelepanu äratamiseks. See saadetakse suure tähtsusega ja juhuslike märkidega teemareal. E-kirja sisu on tühi.

Rämpspost nimetatakse tavaliselt siis, kui Bill saabub a-ga .tõmblukuga manus, mis sisaldab .LNK failid. Avades .zip-manus, käivitavad kasutajad nakkusahela. See oht tuvastatakse kui TrojanDownloader: PowerShell / Ploprolo.A. Kui PowerShelli skript töötab edukalt, laadib see alla ja käivitab Locky nakkusahela lõpuleviimiseks ajutises kaustas.

Locky Ransomware sihitud failitüübid

Allpool on Locky lunavara sihitud failitüübid.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rott, .parv, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .pluss_muhd, .pdd, .muu, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .rahakaev, .mny, .mmw, .mfw, .mef, .MD, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .hall, .hall, .fhd, .ffd, .ex, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .roomama, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .laht, .pank, .backupdb, .varundamine, .tagasi, .awg, .apj, .ait, .agdl, .reklaamid, .adb, .akr, .valutama, .liituma, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .logi, .hpp, .hdd, .rühmadesse, .flvv, .edb, .dit, .dat, .cmt, .prügikast, .aiff, .xlk, .vat, .tlg, .ütlema, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .õli, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .kujundus, .ddd, .dcr, .dac, .cdx, .cdf, .segu, .bkp, .adp, .tegutsema, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .täpp, .cpi, .kliendid, .cdr, .arw, .aac, .thm, .srt, .salvesta, .ohutu, .pwm, .lehekülgi, .obj, .mlb, .MBX, .valgustatud, .laccdb, .kwm, .idx, .HTML, .flf, .dxf, .dwg, .dds, .csv, .css, .konfig, .vrd, .cer, .asx, .aspx, .aoi, .liituma, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .sõnum, .kaardimail, .jnt, .doc, .dbx, .kontakt, .keskel, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .rahakott, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .sepik, .das, .d3dbsp, .bsa, .bik, .vara, .apk, .gpg, .aes, .ARC, .PAQ, .tõrv.bz2, .tbk, .bak, .tõrv, .tgz, .rar, .tõmblukk, .djv, .djvu, .svg, .bmp, .png, .gif, .toores, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .nahkhiir, .klass, .purk, .java, .asp, .brd, .sch, .dch, .kasta, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .kummaline, .dbf, .mdb, .ruutmeetrit, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .tõusma, .lay6, .lama, .ms11 (turvakoopia), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .kummaline, .uup, .potis, .potm, .pptx, .pptm, .standard, .sxd, .pott, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .krt, .ke.

Kuidas vältida Locky Ransomware rünnakut

Locky on ohtlik viirus, mis ohustab teie arvutit tõsiselt. Lunavara vältimiseks ja nakatumise vältimiseks on soovitatav järgida neid juhiseid.

  1. Alati pidage oma arvutit kaitsma pahavaratõrjetarkvara ja lunavaravastast tarkvara ning värskendage seda regulaarselt.
  2. Võimalike tarkvarakasutuste leevendamiseks värskendage oma Windows OS-i ja kogu ülejäänud tarkvara ajakohasena.
  3. Varundage oma olulised failid regulaarselt. Hea võimalus on salvestada need võrguühenduseta kui pilvemällu, kuna ka viirus võib sinna jõuda
  4. Keela makrode laadimine Office'i programmidesse. Nakatunud Wordi dokumendifaili avamine võib osutuda riskantseks!
  5. Ärge avage pimesi e-posti jaotistes „Rämpspost” või „Rämpspost” pimesi. See võib teid meelitada pahavara sisaldava meili avama. Mõelge enne, kui klõpsate veebilinkidel veebisaitidel või e-kirjades või laadite alla saatjate e-posti manuseid. Ärge klõpsake ega avage selliseid manuseid:
    1. Failid koos .LNK laiendus
    2. Failid koos.wsf laiendus
    3. Kahepunktilaiendiga failid (näiteks profile-p29d… wsf).

Lugege: Mida teha pärast lunavara rünnakut teie Windowsi arvutis?

Locky Ransomware dekrüpteerimine

Praeguse seisuga pole Locky lunavara jaoks ühtegi dekrüpteerijat saadaval. Krüptitud failide dekrüpteerimiseks saab kasutada Emsisofti dekrüptorit Automaatne lukustus, teine ​​lunavara, mis nimetab ka failid ümber .lukuline pikendus. AutoLocky kasutab skriptikeelt AutoI ja püüab jäljendada keerukat ja keerukat Locky lunavara. Siit leiate täieliku lunavara dekrüpteerija tööriistade täieliku loendi.

Allikad ja autorid: Microsoft | Magavarvuti | PCRisk.

Mängud Kuidas kasutada AutoKeyt Linuxi mängude automatiseerimiseks
Kuidas kasutada AutoKeyt Linuxi mängude automatiseerimiseks
AutoKey on Linuxi ja X11 töölaua automatiseerimise utiliit, mis on programmeeritud Python 3, GTK ja Qt. Selle skriptimise ja MACRO funktsionaalsuse ab...
Mängud Kuidas näidata FPS-loendurit Linuxi mängudes
Kuidas näidata FPS-loendurit Linuxi mängudes
Linuxi mängimine sai suure tõuke, kui Valve teatas Steam-kliendi ja nende mängude Linuxi toest 2012. aastal. Sellest ajast peale on paljud AAA- ja ind...
Mängud Sid Meieri Civilization VI allalaadimine ja mängimine Linuxis
Sid Meieri Civilization VI allalaadimine ja mängimine Linuxis
Sissejuhatus mängu Civilization 6 on kaasaegne kontseptsioon, mis tutvustati Age of Empires mängude sarjas. Idee oli üsna lihtne; alustaksite kõige põ...