Locky Ransomware is dodelijk! Hier is alles wat u over dit virus moet weten.
Locky is de naam van een Ransomware die laat is geëvolueerd, dankzij de constante upgrade van het algoritme door de auteurs. Locky, zoals voorgesteld door de naam, hernoemt alle belangrijke bestanden op de geïnfecteerde pc en geeft ze een extensie .locky en eist losgeld voor de decryptiesleutels.
Locky ransomware - Evolutie
Ransomware is in 2016 zorgwekkend gegroeid. Het gebruikt Email & Social Engineering om je computersystemen te betreden. De meeste e-mails met kwaadaardige documenten als bijlage bevatten de populaire ransomware-streng Locky. Van de miljarden berichten die gebruikmaakten van kwaadaardige documentbijlagen, ongeveer 97% met Locky ransomware, is dat een verontrustende toename van 64% vanaf Q1 2016 toen het voor het eerst werd ontdekt.
De Locky ransomware werd voor het eerst ontdekt in februari 2016 en werd naar verluidt verzonden naar een half miljoen gebruikers. Locky kwam in de schijnwerpers toen in februari van dit jaar het Hollywood Presbyterian Medical Center een losgeld van 17.000 dollar betaalde voor de ontsleutelingssleutel voor patiëntgegevens. Gegevens van Locky besmet ziekenhuis via e-mailbijlage, vermomd als Microsoft Word-factuur.
Sinds februari heeft Locky de extensies aan elkaar geketend om slachtoffers te misleiden dat ze zijn geïnfecteerd door een andere Ransomware. Locky is begonnen met het oorspronkelijk hernoemen van de gecodeerde bestanden naar .locky en tegen de tijd dat de zomer aanbrak, evolueerde het naar de .Zepto extensie, die sindsdien in meerdere campagnes is gebruikt.
Het laatst gehoord, Locky codeert nu bestanden met .ODIN extensie, proberen gebruikers te verwarren dat het eigenlijk de Odin ransomware is.
Locky Ransomware
Locky ransomware verspreidt zich voornamelijk via spam-e-mailcampagnes die worden uitgevoerd door aanvallers. Deze spam-e-mails hebben meestal .doc-bestanden als bijlagen die verhaspelde tekst bevatten die macro's lijkt te zijn.
Een typische e-mail die wordt gebruikt in Locky ransomware-distributie, kan bijvoorbeeld een factuur zijn die de meeste aandacht van de gebruiker trekt,
E-mail onderwerp zou kunnen zijn - "ATTN: factuur P-12345678", geïnfecteerde bijlage - "invoice_P-12345678.doc"(Bevat macro's die Locky ransomware op computers downloaden en installeren):"
En Email body - "Beste persoon, zie de bijgevoegde factuur (Microsoft Word-document) en betaal de betaling volgens de voorwaarden vermeld onderaan de factuur. Laat het ons weten als je nog vragen hebt. We stellen uw zaken zeer op prijs! "
Zodra de gebruiker macro-instellingen in het Word-programma inschakelt, wordt een uitvoerbaar bestand dat feitelijk de ransomware is gedownload op de pc. Daarna worden verschillende bestanden op de pc van het slachtoffer versleuteld door de ransomware, waardoor ze unieke 16 lettercijferige combinatienamen krijgen met .stront, .Thor, .locky, .Zepto of .Odin bestandsextensies. Alle bestanden worden gecodeerd met behulp van de RSA-2048 en AES-1024 algoritmen en vereisen een privésleutel die is opgeslagen op de externe servers die worden bestuurd door de cybercriminelen voor decodering.
Zodra de bestanden zijn gecodeerd, genereert Locky een extra .tekst en _HELP_instructions.html bestand in elke map die de gecodeerde bestanden bevat. Dit tekstbestand bevat een bericht (zoals hieronder weergegeven) dat gebruikers informeert over de codering.
Verder wordt gesteld dat bestanden alleen kunnen worden gedecodeerd met behulp van een decrypter die is ontwikkeld door cybercriminelen en die .5 BitCoin kost. Om de bestanden terug te krijgen, wordt het slachtoffer daarom gevraagd de Tor-browser te installeren en een koppeling te volgen in de tekstbestanden / achtergrond. De website bevat instructies om de betaling uit te voeren.
Er is geen garantie dat zelfs na het maken van de betaling de slachtofferbestanden worden gedecodeerd. Maar meestal beschermen auteurs van ransomware gewoonlijk hun 'reputatie' meestal bij hun deel van de overeenkomst.
Locky Ransomware verandert van .wsf naar .LNK extensie
Post zijn evolutie dit jaar in februari; Locky ransomware-infecties zijn geleidelijk afgenomen met minder detecties van Nemucod, welke Locky gebruikt om computers te infecteren. (Nemucod is een .wsf-bestand in .zip-bijlagen in spam-e-mail). Microsoft meldt echter dat Locky-auteurs de bijlage hebben gewijzigd .wsf-bestanden naar snelkoppelingsbestanden (.LNK extensie) die PowerShell-opdrachten bevatten om Locky te downloaden en uit te voeren.
Een voorbeeld van de spam-e-mail hieronder laat zien dat deze is gemaakt om onmiddellijk aandacht van de gebruikers te trekken. Het wordt met grote betekenis verzonden en met willekeurige tekens in de onderwerpregel. De tekst van de e-mail is leeg.
De spam-e-mail wordt meestal vermeld als Bill arriveert met een .zip-bijlage, die de .LNK-bestanden bevat. Bij het openen van de .zip-bijlage activeren gebruikers de infectieketen. Deze dreiging wordt gedetecteerd als TrojanDownloader: PowerShell / Ploprolo.A. Wanneer het PowerShell-script met succes wordt uitgevoerd, wordt Locky gedownload en uitgevoerd in een tijdelijke map die de infectieketen voltooit.
Bestandstypen gericht door Locky Ransomware
Hieronder staan de bestandstypen die door Locky ransomware worden getarget.
.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf , .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx,. kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6 , .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads,. adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff , .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf,. nsd, .m os, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr , .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html,. flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg , .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod,. lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak,. tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf , .mdf, .ibd, .MYI, .MYD, .frm, .od b, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (beveiligingskopie), .sldm, .sldx, .ppsm, .ppsx , .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti,. sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT , .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.
Hoe Locky Ransomware-aanvallen te voorkomen
Locky is een gevaarlijk virus dat een ernstige bedreiging voor uw pc vormt. Het wordt aanbevolen dat u deze instructies volgt om ransomware te voorkomen en te voorkomen dat u geïnfecteerd raakt.
- Zorg altijd voor een anti-malware-software en een anti-ransomware-software die uw pc beschermt en regelmatig bijwerkt.
- Werk uw Windows-besturingssysteem en de rest van uw software up-to-date bij om mogelijke softwareprestaties te beperken.
- Maak regelmatig back-ups van uw belangrijke bestanden. Het is een goede optie om ze offline te laten opslaan dan in een cloudopslag, omdat het virus daar ook kan komen
- Schakel het laden van macro's in Office-programma's uit. Het openen van een geïnfecteerd Word-documentbestand kan riskant zijn!
- Open geen e-mail in de secties 'Spam' of 'Ongewenste e-mail'. Dit kan u verleiden om een e-mail te openen die de malware bevat. Denk na voordat u op weblinks op websites of e-mails klikt of e-mailbijlagen downloadt van afzenders die u niet kent. Klik niet op dergelijke bijlagen en open ze niet:
- Bestanden met de extensie .LNK
- Bestanden met .wsf extensie
- Bestanden met dubbele puntextensie (bijvoorbeeld profiel-p29d ... wsf).
Lezen: Wat te doen na een Ransomware-aanval op uw Windows-computer?
Hoe Locky Ransomware te ontsleutelen
Vanaf nu zijn er geen decrypters beschikbaar voor Locky ransomware. Een Decryptor van Emsisoft kan echter worden gebruikt om bestanden versleuteld door te decoderen AutoLocky, een andere ransomware die ook de naam van bestanden wijzigt in de .locky-extensie. AutoLocky maakt gebruik van scripting language AutoI en probeert de complexe en geavanceerde Locky ransomware na te bootsen. U kunt hier de volledige lijst met beschikbare decryptorhulpprogramma's voor ransomware bekijken.
Bronnen & Credits: Microsoft | BleepingComputer | PCRisk.