Phenquestions
Berkunci adalah nama Ransomware yang telah berkembang lewat, berkat peningkatan algoritma berterusan oleh pengarangnya. Locky, seperti yang disarankan namanya, mengganti nama semua fail penting pada PC yang dijangkiti sehingga memberi mereka lanjutan .berkunci dan menuntut tebusan untuk kunci penyahsulitan.
Locky ransomware - Evolusi
Ransomware telah berkembang pada tahap yang membimbangkan pada tahun 2016. Ia menggunakan E-mel & Kejuruteraan Sosial untuk memasuki sistem komputer anda. Sebilangan besar e-mel dengan dokumen berniat jahat dilampirkan menunjukkan strain ransomware yang terkenal, Locky. Di antara berbilion-bilion mesej yang menggunakan lampiran dokumen berbahaya, sekitar 97% menampilkan Locky ransomware, itu adalah peningkatan 64% yang membimbangkan dari Q1 2016 ketika pertama kali ditemui.
The Ransomware berkunci pertama kali dikesan pada Februari 2016 dan dilaporkan dihantar kepada setengah juta pengguna. Locky menjadi perhatian ketika pada bulan Februari tahun ini Pusat Perubatan Presbyterian Hollywood membayar wang tebusan Bitcoin $ 17,000 untuk kunci penyahsulitan untuk data pesakit. Data Hospital yang dijangkiti Locky melalui lampiran e-mel yang menyamar sebagai invois Microsoft Word.
Sejak Februari, Locky telah berusaha untuk memperdaya mangsa bahawa mereka telah dijangkiti oleh Ransomware yang berbeza. Locky mula-mula menamakan semula fail yang disulitkan menjadi .berkunci dan pada saat musim panas tiba ia berkembang menjadi .zepto sambungan, yang telah digunakan dalam beberapa kempen sejak itu.
Terakhir didengar, Locky kini menyulitkan fail dengan .ODIN lanjutan, cuba mengelirukan pengguna bahawa ia sebenarnya adalah ransomware Odin.
Ransomware Locky
Locky ransomware menyebar terutamanya melalui kempen e-mel spam yang dijalankan oleh penyerang. Sebilangan besar e-mel spam ini mempunyai .fail doc sebagai lampiran yang mengandungi teks kacau yang nampaknya makro.
E-mel khas yang digunakan dalam pengedaran Locky ransomware mungkin merupakan invois yang menarik perhatian kebanyakan pengguna, Contohnya,
Subjek e-mel mungkin - "ATTN: Faktur P-12345678", lampiran yang dijangkiti - “invois_P-12345678.dokumen"(Mengandungi Makro yang memuat turun dan memasang Locky ransomware di komputer):"
Dan badan e-mel - "Orang yang dihormati, Sila lihat invois terlampir (Microsoft Word Document) dan kirimkan pembayaran mengikut syarat yang tertera di bahagian bawah invois. Beritahu kami jika anda mempunyai sebarang pertanyaan. Kami sangat menghargai perniagaan anda!"
Setelah pengguna mengaktifkan tetapan makro dalam program Word, fail yang dapat dilaksanakan yang sebenarnya adalah ransomware dimuat turun di PC. Selepas itu, pelbagai fail di PC mangsa dienkripsi oleh ransomware yang memberikan mereka nama gabungan 16 huruf - digit yang unik dengan .najis, .dada, .berkunci, .zepto atau .bau sambungan fail. Semua fail disulitkan menggunakan RSA-2048 dan AES-1024 algoritma dan memerlukan kunci peribadi yang disimpan di pelayan jauh yang dikawal oleh penjenayah siber untuk penyahsulitan.
Setelah fail disulitkan, Locky menghasilkan tambahan .txt dan _HELP_panduan.html fail di setiap folder yang mengandungi fail yang dienkripsi. Fail teks ini mengandungi pesan (seperti yang ditunjukkan di bawah) yang memberitahu pengguna tentang enkripsi.
Lebih jauh menyatakan bahawa fail hanya dapat didekripsi dengan menggunakan decrypter yang dikembangkan oleh penjenayah siber dan kosnya .5 BitCoin. Oleh itu, untuk mendapatkan kembali fail, mangsa diminta untuk memasang penyemak imbas Tor dan mengikuti pautan yang disediakan dalam fail teks / kertas dinding. Laman web mengandungi arahan untuk membuat pembayaran.
Tidak ada jaminan bahawa walaupun setelah membuat pembayaran, fail korban akan didekripsi. Tetapi biasanya untuk melindungi 'reputasinya' penulis ransomware biasanya berpegang pada bahagian tawar-menawar mereka.
Locky Ransomware berubah dari .wsf ke .Sambungan LNK
Hantar evolusi tahun ini pada bulan Februari; Jangkitan Locky ransomware secara beransur-ansur berkurang dengan pengesanan yang lebih sedikit Nemucod, yang digunakan Locky untuk menjangkiti komputer. (Nemucod adalah .fail wsf yang terdapat dalam .lampiran zip dalam e-mel spam). Namun, seperti yang dilaporkan oleh Microsoft, pengarang Locky telah menukar lampiran dari .fail wsf ke fail jalan pintas (.Sambungan LNK) yang mengandungi arahan PowerShell untuk memuat turun dan menjalankan Locky.
Contoh e-mel spam di bawah menunjukkan bahawa ia dibuat untuk menarik perhatian segera pengguna. Ia dihantar dengan kepentingan tinggi dan dengan watak-watak rawak dalam baris subjek. Isi e-mel kosong.
E-mel spam biasanya menamakan ketika Bill tiba dengan .lampiran zip, yang mengandungi .Fail LNK. Dalam membuka .lampiran zip, pengguna mencetuskan rantai jangkitan. Ancaman ini dikesan sebagai TrojanDownloader: PowerShell / Ploprolo.A. Apabila skrip PowerShell berjaya dijalankan, ia memuat turun dan melaksanakan Locky dalam folder sementara yang melengkapkan rantai jangkitan.
Jenis fail yang disasarkan oleh Locky Ransomware
Berikut adalah jenis fail yang disasarkan oleh Locky ransomware.
.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .tikus, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .tambah_muhd, .pdd, .oth, .atau, .bau, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .saya d, .mrw, .wang tunai, .mny, .mmw, .mfw, .saya, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .termasuk, .iiq, .ibz, .ibank, .hbk, .gry, .kelabu, .kelabu, .fhd, .ffd, .cth, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_jurnal, .csl, .csh, .crw, .merangkak, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .teluk, .bank, .sandarandb, .sandaran, .belakang, .awg, .apj, .ait, .agdl, .iklan, .adb, .acr, .ach, .akta, .accdr, .menolong, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .balak, .hpp, .hdd, .kumpulan, .flvv, .edb, .dit, .dat, .cmt, .tong sampah, .aiff, .xlk, .wad, .tlg, .katakan, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .tepukan, .minyak, .bau, .nsh, .nsg, .nsf, .nsd, .masjid, .indd, .iif, .fpx, .F F F, .fdb, .dtd, .reka bentuk, .jd, .dcr, .dac, .cdx, .cdf, .adunan, .bkp, .adp, .bertindak, .xlr, .xlam, .xla, .wps, .tga, .gambar, .pct, .pcd, .fxg, .flak, .eps, .dxb, .drw, .noktah, .cpi, .kl, .cdr, .arw, .aac, .thm, .srt, .berjimat, .selamat, .pwm, .halaman, .obj, .mlb, .mbx, .menyala, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .konfigurasi, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wabak, .rtf, .prf, .ppt, .oab, .msg, .peta peta, .jnt, .dokumen, .dbx, .kenalan, .pertengahan, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .dompet, .upk, .berjimat, .ltx, .litesql, .litemod, .lbf, .iwi, .menjalin, .das, .d3dbsp, .bsa, .basikal, .aset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bakar, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .mentah, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .kelawar, .kelas, .balang, .jawa, .asp, .brd, .sk, .dch, .celup, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .SAYA D, .frm, .ganjil, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .berbaring6, .berbaring, .ms11 (Salinan keselamatan), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .ganjil, .aduh, .potx, .potm, .pptx, .pptm, .std, .sxd, .periuk, .pps, .sti, .sxi, .otp, .ganjil, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .noktah, .dotx, .docm, .docx, .DOT, .maks, .xml, .txt, .CSV, .tidak, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .ganjil, .DOC, .pem, .csr, .crt, .ke.
Cara mencegah serangan Locky Ransomware
Locky adalah virus berbahaya yang mempunyai ancaman serius terhadap PC anda. Sebaiknya ikuti arahan ini untuk mencegah ransomware dan mengelakkan daripada dijangkiti.
- Sentiasa ada perisian anti-malware dan perisian anti-ransomware yang melindungi PC anda dan kemas kini secara berkala.
- Kemas kini OS Windows anda dan perisian anda yang selebihnya untuk mengurangkan kemungkinan eksploitasi perisian.
- Sandarkan fail penting anda dengan kerap. Ini adalah pilihan yang baik untuk menyimpannya di luar talian daripada di penyimpanan awan kerana virus juga dapat sampai ke sana
- Lumpuhkan pemuatan Makro dalam program Office. Membuka fail dokumen Word yang dijangkiti boleh menjadi berisiko!
- Jangan buka mel secara membabi buta di bahagian e-mel 'Spam' atau 'Junk'. Ini boleh menipu anda untuk membuka e-mel yang mengandungi perisian hasad. Fikirkan sebelum mengklik pautan web di laman web atau e-mel atau memuat turun lampiran e-mel dari pengirim yang anda tidak tahu. Jangan klik atau buka lampiran seperti itu:
- Fail dengan .Sambungan LNK
- Fail dengan.lanjutan wsf
- Fail dengan peluasan titik ganda (contohnya, profil-p29d… wsf).
Baca: Apa yang harus dilakukan selepas serangan Ransomware pada komputer Windows anda?
Cara menyahsulit Locky Ransomware
Setakat ini, tidak ada penyahsulitan yang tersedia untuk Locky ransomware. Walau bagaimanapun, Decryptor dari Emsisoft dapat digunakan untuk menyahsulitkan fail yang disulitkan oleh AutoLocky, ransomware lain yang juga menamakan semula fail menjadi .sambungan berkunci. AutoLocky menggunakan bahasa skrip AutoI dan cuba meniru Locky ransomware yang rumit dan canggih. Anda dapat melihat senarai lengkap alat penyahsulitan ransomware yang ada di sini.
Sumber & Kredit: Microsoft | Komputer Bleeping | Risiko PCR.
