Kantor

Locky Ransomware sangat mematikan! Inilah yang harus Anda ketahui tentang virus ini.

Mengatasi Iklan Menang Undian Kunjungan Website Android

Mengatasi Iklan Menang Undian Kunjungan Website Android

Daftar Isi:

Anonim

Locky adalah nama Ransomware yang telah berevolusi akhir-akhir ini, berkat peningkatan algoritma konstan oleh penulisnya. Locky, seperti yang disarankan oleh namanya, mengganti nama semua file penting pada PC yang terinfeksi memberi mereka ekstensi.locky dan menuntut tebusan untuk kunci dekripsi.

Locky ransomware - Evolution

Ransomware telah tumbuh pada tingkat yang mengkhawatirkan pada tahun 2016. Menggunakan Email & Rekayasa Sosial untuk memasuki sistem komputer Anda. Sebagian besar email dengan dokumen berbahaya terlampir menampilkan strain ransomware populer, Locky. Di antara miliaran pesan yang menggunakan lampiran dokumen berbahaya, sekitar 97% menampilkan ransomware Locky, yang merupakan peningkatan 64% yang mengkhawatirkan dari Q1 2016 ketika pertama kali ditemukan.

Locky ransomware pertama kali terdeteksi di Februari 2016 dan dilaporkan dikirim ke setengah juta pengguna. Locky menjadi pusat perhatian ketika pada bulan Februari tahun ini, Pusat Medis Presbiterian Hollywood membayar $ 17.000 tebusan Bitcoin untuk kunci dekripsi untuk data pasien. Locky menginfeksi data Rumah Sakit melalui lampiran email yang disamarkan sebagai faktur Microsoft Word.

Sejak Februari, Locky telah mengalihkan ekstensi dalam upaya untuk menipu korban bahwa mereka telah terinfeksi oleh Ransomware yang berbeda. Locky mulai mengubah nama file yang dienkripsi menjadi .locky dan pada saat musim panas tiba, ia berevolusi menjadi ekstensi .zepto , yang telah digunakan dalam beberapa kampanye sejak.

Terakhir terdengar, Locky sekarang mengenkripsi file dengan ekstensi .ODIN , mencoba membingungkan pengguna yang sebenarnya adalah ransomware Odin.

Locky Ransomware

Locky ransomware terutama menyebar melalui kampanye email spam yang dijalankan oleh penyerang. Sebagian besar email spam ini memiliki .doc file sebagai lampiran yang berisi teks acak yang muncul sebagai makro.

Email khas yang digunakan dalam distribusi ransomware Locky mungkin berupa faktur yang menarik perhatian sebagian besar pengguna, Misalnya,

Subjek email bisa - "ATTN: Faktur P-12345678", lampiran yang terinfeksi - " invoice_P-12345678.doc " (berisi Macro yang mengunduh dan menginstal ransomware Locky pada komputer): "

Dan isi Email -" Kepada seseorang, Silakan lihat faktur terlampir (Dokumen Microsoft Word) dan kirim pembayaran sesuai dengan ketentuan yang tercantum di bagian bawah faktur. Beri tahu kami jika Anda memiliki pertanyaan. Kami sangat menghargai bisnis Anda! ”

Setelah pengguna mengaktifkan pengaturan makro di program Word, file yang dapat dijalankan yang sebenarnya adalah ransomware yang diunduh di PC. Setelah itu, berbagai file pada PC korban dienkripsi oleh ransomware memberi mereka 16 kombinasi nama-huruf unik dengan .shit , .thor , .locky , .zepto atau .odin ekstensi file. Semua file dienkripsi menggunakan RSA-2048 dan AES-1024 algoritma dan memerlukan kunci pribadi yang disimpan di server jauh yang dikendalikan oleh penjahat cyber untuk dekripsi.

Setelah file dienkripsi, Locky menghasilkan file tambahan .txt dan _HELP_instructions.html di setiap folder yang berisi file terenkripsi. File teks ini berisi pesan (seperti ditunjukkan di bawah ini) yang menginformasikan pengguna enkripsi.

Lebih lanjut menyatakan bahwa file hanya dapat didekripsi menggunakan decrypter yang dikembangkan oleh penjahat cyber dan biaya.5 BitCoin. Oleh karena itu, untuk mendapatkan file kembali, korban diminta untuk menginstal browser Tor dan mengikuti tautan yang disediakan dalam file teks / wallpaper. Situs web berisi instruksi untuk melakukan pembayaran.

Tidak ada jaminan bahwa bahkan setelah membuat file korban pembayaran akan didekripsi. Tetapi biasanya untuk melindungi para penulis ransomware `reputasinya` biasanya tetap berpegang pada bagian tawar-menawar mereka.

Locky Ransomware berubah dari.wsf menjadi.LNK extension

Posting evolusinya tahun ini di bulan Februari; Infeksi ransomware Locky secara bertahap menurun dengan pendeteksian yang lebih rendah Nemucod , yang digunakan Locky untuk menginfeksi komputer. (Nemucod adalah file.wsf yang terkandung dalam lampiran.zip dalam email spam). Namun, seperti yang dilaporkan Microsoft, penulis Locky telah mengubah lampiran dari file .wsf menjadi file pintasan (ekstensi LNK) yang berisi perintah PowerShell untuk mengunduh dan menjalankan Locky.

An contoh dari email spam di bawah ini menunjukkan bahwa itu dibuat untuk menarik perhatian langsung dari para pengguna. Ini dikirim dengan sangat penting dan dengan karakter acak di baris subjek. Badan email kosong.

Email spam biasanya diberi nama ketika Bill tiba dengan lampiran.zip, yang berisi file.LNK. Dalam membuka lampiran.zip, pengguna memicu rantai infeksi. Ancaman ini terdeteksi sebagai TrojanDownloader: PowerShell / Ploprolo.A . Ketika skrip PowerShell berhasil berjalan, ia akan mengunduh dan mengeksekusi Locky dalam folder sementara yang melengkapi rantai infeksi.

Jenis file yang ditargetkan oleh Locky Ransomware

Di bawah ini adalah jenis file yang ditargetkan oleh Locky ransomware.

.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q sapi,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,. accdb,.7zip,.xls,.wab, ​​.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (Salinan keamanan),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Cara Mencegah Locky Ransomware menyerang

Locky adalah virus berbahaya yang memiliki ancaman besar bagi PC Anda. Disarankan agar Anda mengikuti petunjuk ini untuk mencegah ransomware dan menghindari terinfeksi.

  1. Selalu miliki perangkat lunak anti-malware dan perangkat lunak anti-ransomware yang melindungi PC Anda dan perbarui secara teratur.
  2. Perbarui OS Windows Anda dan perangkat lunak lainnya yang terbaru untuk mengurangi kemungkinan penggunaan perangkat lunak.
  3. Cadangkan file penting Anda secara teratur. Ini adalah pilihan yang baik untuk menyimpannya secara offline daripada di penyimpanan cloud karena virus dapat mencapai sana juga
  4. Nonaktifkan pemuatan Macro di program Office. Membuka file dokumen Word yang terinfeksi dapat terbukti berisiko!
  5. Jangan membuka email secara membabi buta di bagian email `spam` atau `sampah`. Ini dapat menipu Anda agar membuka email yang berisi perangkat lunak perusak. Pikirkan sebelum mengklik tautan web di situs web atau email atau mengunduh lampiran email dari pengirim yang tidak Anda ketahui. Jangan klik atau buka lampiran semacam itu:
    1. File dengan ekstensi.LNK
    2. File dengan ekstensi.saya
    3. File dengan ekstensi titik ganda (misalnya, profil-p29d … wsf).

Baca : Apa yang harus dilakukan setelah serangan Ransomware pada komputer Windows Anda?

Cara mendekripsi Locky Ransomware

Saat ini, tidak ada dekripsi yang tersedia untuk ransomware Locky. Namun, Decryptor dari Emsisoft dapat digunakan untuk mendekripsi file yang dienkripsi oleh AutoLocky , ransomware lain yang juga mengganti nama file ke ekstensi.locky. AutoLocky menggunakan bahasa scripting AutoI dan mencoba untuk meniru ransomware Locky yang rumit dan canggih. Anda dapat melihat daftar lengkap alat dekripsi ransomware yang tersedia di sini.

Sumber & Kredit : Microsoft | BleepingComputer | PCRisk.