Ransomware Locky là chết người! Đây là tất cả những gì bạn cần biết về virus này.

Locky là tên của một Ransomware đã được phát triển muộn, nhờ nâng cấp thuật toán liên tục bởi các tác giả của nó. Locky, như được đề xuất bởi tên của nó, đổi tên tất cả các tập tin quan trọng trên máy tính bị nhiễm cho chúng một phần mở rộng.locky và đòi tiền chuộc cho các khóa giải mã.

Ransomware Locky - Evolution

Ransomware đã phát triển với tốc độ đáng báo động vào năm 2016. Nó sử dụng Email & Kỹ thuật Xã hội để vào hệ thống máy tính của bạn. Hầu hết các email với các tài liệu độc hại kèm theo đều đặc trưng với dòng ransomware phổ biến Locky. Trong số hàng tỷ tin nhắn sử dụng các tập tin đính kèm tài liệu độc hại, khoảng 97% tính năng Locky ransomware, đó là mức tăng đáng báo động 64% kể từ Q1 2016 khi nó được phát hiện lần đầu.

Ransomware Locky được phát hiện lần đầu tiên Tháng 2 năm 2016 và được báo cáo gửi đến nửa triệu người dùng. Locky đã đi vào ánh đèn sân khấu khi vào tháng Hai năm nay Trung tâm Y tế Hollywood Presbyterian đã trả một khoản tiền chuộc $ 17,000 Bitcoin cho khóa giải mã cho dữ liệu bệnh nhân. Dữ liệu của Bệnh viện bị khóa thông qua một tài liệu đính kèm email được cải trang thành hóa đơn của Microsoft Word.

Kể từ tháng 2, Locky đã chaining các phần mở rộng của nó trong một nỗ lực để đánh lừa nạn nhân rằng họ đã bị nhiễm một Ransomware khác. Locky bắt đầu đổi tên các tệp được mã hóa thành .locky và vào thời điểm mùa hè, nó đã phát triển thành phần mở rộng .zepto , đã được sử dụng trong nhiều chiến dịch kể từ đó., Locky hiện đang mã hóa các tập tin với phần mở rộng

.ODIN , cố gây nhầm lẫn cho người dùng rằng nó thực sự là phần mềm tiện ích Odin. Ransomware Locky

Ransomware Locky chủ yếu lây lan qua các chiến dịch email spam của những kẻ tấn công. Các email spam này hầu hết có

.doc tệp dưới dạng tệp đính kèm chứa văn bản được xáo trộn xuất hiện là macro. Email điển hình được sử dụng trong phân phối phần mềm ryomware có thể là một hóa đơn thu hút sự chú ý của người dùng nhất.

Chủ đề email có thể là -

“ATTN: Hoá đơn P-12345678”, tệp đính kèm bị nhiễm - “ invoice_P-12345678.doc ” (chứa Macro tải xuống và cài đặt phần mềm lưu trữ Locky trên máy tính): ” Và nội dung Email -“ Kính gửi người nào đó, Vui lòng xem hóa đơn đính kèm (Tài liệu Microsoft Word) và chuyển khoản thanh toán theo các điều khoản được liệt kê ở cuối hóa đơn. Hãy cho chúng tôi biết nếu bạn có bất kỳ câu hỏi. Chúng tôi đánh giá rất cao doanh nghiệp của bạn! ”

Khi người dùng bật cài đặt macro trong chương trình Word, tệp thực thi thực sự là phần mềm tải xuống được tải xuống trên PC. Sau đó, các tệp khác nhau trên máy tính của nạn nhân được mã hóa bằng phần mềm ransomware cho chúng 16 ký tự kết hợp chữ số duy nhất với

.shit , .thor , .locky , .zepto hoặc .odin phần mở rộng tệp. Tất cả các tệp được mã hóa bằng thuật toán RSA-2048 và AES-1024 và yêu cầu khóa riêng tư được lưu trữ trên máy chủ từ xa được kiểm soát bởi bọn tội phạm mạng để giải mã. được mã hóa, Locky tạo thêm một tệp

.txt và _HELP_instructions.html trong mỗi thư mục chứa các tệp được mã hóa. Tập tin văn bản này chứa một thông báo (như hình bên dưới) để thông báo cho người dùng về mã hóa. Nó nói thêm rằng các tập tin chỉ có thể được giải mã bằng cách sử dụng một decrypter được phát triển bởi tội phạm mạng và chi phí.5 BitCoin. Do đó, để lấy lại các tập tin, nạn nhân được yêu cầu cài đặt trình duyệt Tor và theo một liên kết được cung cấp trong các tập tin văn bản / hình nền. Trang web có chứa các hướng dẫn để thực hiện thanh toán.

Không có gì đảm bảo rằng ngay cả sau khi thực hiện các tệp nạn nhân thanh toán sẽ được giải mã. Nhưng thường là để bảo vệ các tác giả `ransomware` danh tiếng của mình thường dính vào phần của họ trong món hời.

Locky Ransomware thay đổi từ.wsf thành.LNK extension

Đăng sự tiến hóa của nó trong năm nay vào tháng Hai; Nhiễm trùng ransomware locky đã giảm dần với ít phát hiện

Nemucod , mà Locky sử dụng để lây nhiễm cho máy tính. (Nemucod là tệp.wsf có trong tệp đính kèm.zip trong email spam). Tuy nhiên, như Microsoft báo cáo, tác giả Locky đã thay đổi tập tin đính kèm từ .wsf files thành shortcut file (. LNK extension) có chứa lệnh PowerShell để tải xuống và chạy Locky. An Ví dụ về email spam dưới đây cho thấy rằng nó được thực hiện để thu hút sự chú ý ngay lập tức từ người dùng. Nó được gửi với tầm quan trọng cao và với các ký tự ngẫu nhiên trong dòng chủ đề. Nội dung của email trống.

Email spam thường có tên là Bill đến với tệp đính kèm.zip, chứa tệp.LNK. Khi mở tệp đính kèm.zip, người dùng kích hoạt chuỗi lây nhiễm. Mối đe dọa này được phát hiện là

TrojanDownloader: PowerShell / Ploprolo.A . Khi kịch bản PowerShell chạy thành công, nó sẽ tải xuống và thực thi Locky trong một thư mục tạm thời hoàn thành chuỗi nhiễm. Các loại tệp được nhắm mục tiêu bởi Locky Ransomware

Dưới đây là các loại tệp được nhắm mục tiêu bởi phần mềm ryomware Locky.

.yuv,.,.x,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q bò,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.,,.nsh,.nsg,.nsf,.nsd,.mos,.indf,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.,.,.,.,.,.,.,.,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,.,.jpg,.jpg,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (Bản sao bảo mật),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.st,.x, xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Cách ngăn chặn Locky Ransomware tấn công

Locky là một loại virus nguy hiểm sở hữu một mối đe dọa nghiêm trọng đối với PC của bạn. Chúng tôi khuyên bạn nên làm theo các hướng dẫn này để ngăn chặn phần mềm ransomware và tránh bị lây nhiễm.

Luôn có phần mềm chống phần mềm độc hại và phần mềm chống phần mềm bảo vệ máy tính của bạn và cập nhật thường xuyên.

1. Cập nhật hệ điều hành Windows và phần còn lại của phần mềm cập nhật để giảm thiểu các phần mềm có thể khai thác.
2. Thường xuyên sao lưu các tệp quan trọng của bạn. Đó là một tùy chọn tốt để lưu chúng ngoại tuyến so với lưu trữ trên đám mây vì vi-rút cũng có thể truy cập ở đó
3. Tắt tải Macros trong các chương trình Office. Mở một tệp tài liệu Word bị nhiễm có thể chứng minh rủi ro!
4. Không được mở một cách mù quáng thư trong các phần email `spam` hoặc `thư rác`. Điều này có thể lừa bạn mở một email chứa phần mềm độc hại. Hãy suy nghĩ trước khi nhấp vào liên kết web trên trang web hoặc email hoặc tải xuống tệp đính kèm email từ những người gửi mà bạn không biết. Không nhấp hoặc mở các tệp đính kèm đó:
5. Tệp có đuôi mở rộng.LNK
1. Tệp có đuôi mở rộng.sw
2. Tệp có đuôi mở rộng kép (ví dụ: profile-p29d… wsf).

Đọc : Phải làm gì sau khi tấn công Ransomware trên máy tính Windows của bạn?

Cách giải mã Locky Ransomware

Hiện tại, không có bộ giải mã nào có sẵn cho Locky ransomware. Tuy nhiên, một Decryptor từ Emsisoft có thể được sử dụng để giải mã các tệp được mã hóa bởi AutoLocky , một phần mềm ransomware khác cũng có thể đổi tên tệp thành phần mở rộng.locky. AutoLocky sử dụng ngôn ngữ kịch bản AutoI và cố gắng bắt chước phần mềm rườm rà Locky phức tạp và tinh vi. Bạn có thể xem danh sách đầy đủ các công cụ giải mã ransomware sẵn có tại đây.

Nguồn & Tín dụng : Microsoft | BleepingComputer | PCRisk.