Locky Ransomware è micidiale! Ecco tutto ciò che dovresti sapere su questo virus.
Locky è il nome di un Ransomware che si è evoluto in ritardo, grazie al costante aggiornamento dell'algoritmo da parte dei suoi autori. Locky, come suggerisce il nome, rinomina tutti i file importanti sul PC infetto dando loro un'estensione .locky e richiede un riscatto per le chiavi di decodifica.
Locky ransomware - Evolution
Il Ransomware è cresciuto ad un ritmo allarmante nel 2016. Usa Email e Social Engineering per entrare nei tuoi sistemi informatici. La maggior parte delle e-mail con allegati malevoli conteneva il famoso ceppo di ransomware Locky. Tra i miliardi di messaggi che utilizzavano allegati di documenti dannosi, circa il 97% conteneva Locky ransomware, che rappresenta un allarmante aumento del 64% rispetto al primo trimestre 2016, quando fu scoperto per la prima volta.
Il Locky ransomware è stato rilevato per la prima volta a febbraio 2016 e, secondo quanto riferito, è stato inviato a mezzo milione di utenti. Locky è venuto alla ribalta quando a febbraio di quest'anno l'Hollywood Presbyterian Medical Center ha pagato un riscatto di bitcoin da $ 17.000 per la chiave di decodifica dei dati dei pazienti. Locky ha infettato i dati dell'Ospedale tramite un allegato di posta elettronica camuffato da fattura di Microsoft Word.
Da febbraio, Locky ha incatenato le sue estensioni nel tentativo di ingannare le vittime che sono state infettate da un Ransomware diverso. Locky ha iniziato a rinominare originariamente i file crittografati in .locky e quando arrivò l'estate si evolse in .Zepto estensione, che è stata utilizzata in più campagne da allora.
Ultimo sentito, Locky ora sta crittografando i file con .ODIN estensione, cercando di confondere gli utenti che in realtà è il ransomware Odin.
Locky Ransomware
Locky ransomware si diffonde principalmente tramite campagne di spam inviate dagli aggressori. Queste e-mail di spam hanno per lo più .file doc come allegati che contengono testo scrambled che sembra essere macro.
Una tipica email usata nella distribuzione di Locky ransomware può essere una fattura che cattura l'attenzione dell'utente, ad esempio,
L'oggetto dell'email potrebbe essere - "ATTN: Fattura P-12345678", allegato infetto - "invoice_P-12345678.doc"(Contiene macro che scaricano e installano Locky ransomware sui computer):"
E corpo dell'email: "Gentile utente, vedere la fattura allegata (documento Microsoft Word) e inviare il pagamento in base ai termini elencati nella parte inferiore della fattura. Fateci sapere se avete domande. Apprezziamo molto i tuoi affari! "
Una volta che l'utente abilita le impostazioni macro nel programma Word, un file eseguibile che è in realtà il ransomware viene scaricato sul PC. Successivamente, vari file sul PC della vittima vengono crittografati dal ransomware, che fornisce loro un unico nome combinazione di 16 lettere .merda, .thor, .locky, .Zepto o .odin estensioni di file. Tutti i file sono crittografati usando il RSA-2048 e AES-1024 algoritmi e richiedono una chiave privata memorizzata sui server remoti controllati dai criminali informatici per la decodifica.
Una volta crittografati i file, Locky genera un ulteriore .testo e _HELP_instructions.html file in ogni cartella contenente i file crittografati. Questo file di testo contiene un messaggio (come mostrato di seguito) che informa gli utenti della crittografia.
Dichiara inoltre che i file possono essere decifrati solo utilizzando un decrypter sviluppato da criminali informatici e con un costo di .5 BitCoin. Quindi, per recuperare i file, alla vittima viene chiesto di installare il browser Tor e seguire un collegamento fornito nei file di testo / sfondo. Il sito Web contiene le istruzioni per effettuare il pagamento.
Non vi è alcuna garanzia che anche dopo aver effettuato il pagamento, i file delle vittime verranno decifrati. Ma di solito per proteggere i suoi autori di "reputazione" ransomware di solito si attengono alla loro parte del patto.
Locky Ransomware che passa dall'estensione .wsf a .LNK
Pubblica la sua evoluzione quest'anno a febbraio; Le infezioni da Locky ransomware sono gradualmente diminuite con rilevazioni minori Nemucod, quale Locky usa per infettare i computer. (Nemucod è un file .wsf contenuto negli allegati .zip nell'e-mail di spam). Tuttavia, come riportato da Microsoft, gli autori di Locky hanno modificato l'allegato da .file wsf a file di scelta rapida (Estensione .LNK) che contengono comandi di PowerShell per scaricare ed eseguire Locky.
Un esempio della mail di spam qui sotto mostra che è fatto per attirare l'attenzione immediata degli utenti. Viene inviato con alta importanza e con caratteri casuali nella riga dell'oggetto. Il corpo dell'e-mail è vuoto.
In genere l'e-mail di spam viene indicata con l'allegato .zip, che contiene i file .LNK. Aprendo l'allegato .zip, gli utenti attivano la catena di infezioni. Questa minaccia è rilevata come TrojanDownloader: PowerShell / Ploprolo.A. Quando lo script di PowerShell viene eseguito correttamente, scarica ed esegue Locky in una cartella temporanea che completa la catena di infezioni.
Tipi di file presi di mira da Locky Ransomware
Di seguito sono riportati i tipi di file presi di mira da Locky ransomware.
.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf , .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx,. kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6 , .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads,. adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff , .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf,. nsd, .m os, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr , .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html,. flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg , .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod,. lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak,. tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf , .mdf, .ibd, .MYI, .MYD, .frm, .od b, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Copia di sicurezza), .sldm, .sldx, .ppsm, .ppsx , .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti,. sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT , .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.
Come prevenire l'attacco di Locky Ransomware
Locky è un virus pericoloso che possiede una grave minaccia per il tuo PC. Si consiglia di seguire queste istruzioni per prevenire il ransomware ed evitare di essere infettati.
- Avere sempre un software anti-malware e un software anti-ransomware che protegge il PC e lo aggiorna regolarmente.
- Aggiorna il tuo sistema operativo Windows e il resto del tuo software aggiornato per mitigare possibili exploit software.
- Esegui regolarmente il backup dei tuoi file importanti. È una buona opzione per averli salvati offline rispetto a quelli su un cloud storage poiché anche i virus possono raggiungerli
- Disabilitare il caricamento di macro nei programmi di Office. L'apertura di un file di documento Word infetto potrebbe rivelarsi rischioso!
- Non aprire la posta alla cieca nelle sezioni email "Spam" o "Junk". Questo potrebbe indurti ad aprire un'email contenente il malware. Pensa prima di fare clic su collegamenti Web su siti Web o e-mail o scaricare allegati e-mail da mittenti che non conosci. Non fare clic o aprire tali allegati:
- File con estensione .LNK
- File con estensione .wsf
- File con estensione a doppio punto (ad esempio, profilo-p29d ... wsf).
Leggere: Cosa fare dopo un attacco di Ransomware sul tuo computer Windows?
Come decifrare Locky Ransomware
A partire da ora, non ci sono decrypters disponibili per Locky ransomware. Tuttavia, un Decryptor di Emsisoft può essere utilizzato per decodificare i file crittografati da AutoLocky, un altro ransomware che rinomina anche i file sull'estensione .locky. AutoLocky utilizza il linguaggio di scripting AutoI e prova a imitare il complesso e sofisticato ransomware di Locky. Qui puoi vedere l'elenco completo degli strumenti di decryptor ransomware disponibili.
Fonti e crediti: Microsoft | BleepingComputer | PCRisk.