Phenquestions
Locky ist der Name einer Ransomware, die sich dank der ständigen Algorithmus-Upgrades ihrer Autoren erst spät entwickelt hat. Locky benennt, wie der Name schon sagt, alle wichtigen Dateien auf dem infizierten PC um und gibt ihnen eine Erweiterung .verschlossen und verlangt Lösegeld für die Entschlüsselungsschlüssel.
Locky-Ransomware - Evolution
Ransomware ist 2016 alarmierend gewachsen. Es verwendet E-Mail & Social Engineering, um in Ihre Computersysteme einzudringen. Die meisten E-Mails mit angehängten schädlichen Dokumenten enthielten den beliebten Ransomware-Stamm Locky. Unter den Milliarden von Nachrichten, die bösartige Dokumentanhänge verwendeten, enthielten etwa 97 % die Locky-Ransomware, das ist ein alarmierender Anstieg von 64 % gegenüber dem ersten Quartal 2016, als sie entdeckt wurde.
Das Locky-Ransomware wurde erstmals im Februar 2016 entdeckt und Berichten zufolge an eine halbe Million Nutzer gesendet. Locky geriet ins Rampenlicht, als das Hollywood Presbyterian Medical Center im Februar dieses Jahres ein Lösegeld in Höhe von 17.000 $ in Bitcoin für den Entschlüsselungsschlüssel für Patientendaten zahlte. Locky infizierte Krankenhausdaten über einen als Microsoft Word-Rechnung getarnten E-Mail-Anhang.
Seit Februar hat Locky seine Erweiterungen verkettet, um die Opfer zu täuschen, dass sie mit einer anderen Ransomware infiziert wurden. Locky begann ursprünglich damit, die verschlüsselten Dateien in . umzubenennen .verschlossen und als der Sommer kam, entwickelte er sich zum .zepto Erweiterung, die seither in mehreren Kampagnen verwendet wurde.
Zuletzt gehört, Locky verschlüsselt jetzt Dateien mit .ODIN Erweiterung und versucht, Benutzer zu verwirren, dass es sich tatsächlich um die Odin-Ransomware handelt.
Locky-Ransomware
Die Locky-Ransomware verbreitet sich hauptsächlich über Spam-E-Mail-Kampagnen der Angreifer. Diese Spam-E-Mails haben meistens .doc-Dateien als Anhänge die verschlüsselten Text enthalten, der wie Makros aussieht.
Eine typische E-Mail, die bei der Verteilung der Locky-Ransomware verwendet wird, kann eine Rechnung sein, die die Aufmerksamkeit der meisten Benutzer auf sich zieht, zum Beispiel,
E-Mail-Betreff könnte sein - „ACHTUNG: Rechnung P-12345678“, infizierter Anhang -“Rechnung_P-12345678.doc” (enthält Makros, die Locky-Ransomware herunterladen und auf Computern installieren):”
Und E-Mail-Text - "Sehr geehrte Person, bitte sehen Sie sich die angehängte Rechnung (Microsoft Word-Dokument) an und überweisen Sie die Zahlung gemäß den am Ende der Rechnung aufgeführten Bedingungen .". Lassen Sie es uns wissen, wenn Sie Fragen haben. Wir schätzen Ihr Geschäft sehr!”
Sobald der Benutzer die Makroeinstellungen im Word-Programm aktiviert, wird eine ausführbare Datei, die eigentlich die Ransomware ist, auf den PC heruntergeladen. Danach werden verschiedene Dateien auf dem PC des Opfers von der Ransomware verschlüsselt und erhalten eindeutige 16-stellige Kombinationsnamen mit - .Scheisse, .thor, .verschlossen, .zepto oder .odin Dateierweiterungen. Alle Dateien werden mit dem verschlüsselten RSA-2048 und AES-1024 Algorithmen und benötigen einen privaten Schlüssel, der auf den von den Cyberkriminellen kontrollierten Remote-Servern zur Entschlüsselung gespeichert ist.
Sobald die Dateien verschlüsselt sind, generiert Locky ein zusätzliches .TXT und _HELP_Anweisungen.html Datei in jedem Ordner, der die verschlüsselten Dateien enthält. Diese Textdatei enthält eine Nachricht (wie unten gezeigt), die Benutzer über die Verschlüsselung informiert.
Weiter heißt es, dass Dateien nur mit einem von Cyberkriminellen entwickelten Entschlüsseler entschlüsselt werden können .5 BitCoin. Um die Dateien zurückzubekommen, wird das Opfer daher aufgefordert, den Tor-Browser zu installieren und einem Link in den Textdateien/Hintergrundbildern zu folgen. Die Website enthält Anweisungen zur Zahlung.
Es gibt keine Garantie, dass die Opferdateien auch nach der Zahlung entschlüsselt werden. Aber normalerweise halten sich die Ransomware-Autoren zum Schutz ihres „Rufs“ an ihren Teil der Abmachung.
Locky Ransomware ändert sich von .wsf zu .LNK-Erweiterung
Veröffentlichen Sie seine Entwicklung dieses Jahr im Februar; Locky-Ransomware-Infektionen sind allmählich zurückgegangen, mit weniger Erkennungen von Nemukod, die Locky verwendet, um Computer zu infizieren. (Nemucod ist ein .wsf-Datei enthalten in .zip-Anhänge in Spam-E-Mails). Wie Microsoft berichtet, haben Locky-Autoren jedoch den Anhang von . geändert .wsf-Dateien zu Verknüpfungsdateien (.LNK-Erweiterung), die PowerShell-Befehle zum Herunterladen und Ausführen von Locky enthalten.
Ein Beispiel für die untenstehende Spam-E-Mail zeigt, dass sie erstellt wurde, um die sofortige Aufmerksamkeit der Benutzer zu erregen. Es wird mit hoher Wichtigkeit und mit zufälligen Zeichen in der Betreffzeile gesendet. Der Text der E-Mail ist leer.
Die Spam-E-Mail heißt normalerweise, wie Bill mit einem ankommt .Zip-Anhang, der die .LNK-Dateien. Beim Öffnen der .zip-Anhang lösen Benutzer die Infektionskette aus. Diese Bedrohung wird erkannt als TrojanDownloader:PowerShell/Ploprolo.EIN. Wenn das PowerShell-Skript erfolgreich ausgeführt wird, lädt es Locky herunter und führt es in einem temporären Ordner aus, wodurch die Infektionskette abgeschlossen wird.
Von Locky Ransomware angegriffene Dateitypen
Im Folgenden sind die Dateitypen aufgeführt, die von Locky-Ransomware angegriffen werden.
.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .Ratte, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .andere, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nein, .nef, .ndd, .myd, .mrw, .Geldbrunnen, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .grau, .grau, .grau, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .krähen, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .Bucht, .Bank, .backupdb, .Sicherung, .zurück, .awg, .apj, .ait, .agdl, .Anzeigen, .adb, .akr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .Log, .hpp, .hdd, .Gruppen, .flvv, .edb, .dit, .dat, .cmt, .Behälter, .aiff, .xlk, .Bündel, .tlg, .sagen, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .klopfen, .Öl, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .F f f, .fdb, .dtd, .Design, .ddd, .dcr, .dac, .cdx, .cdf, .Mischung, .bkp, .adp, .Handlung, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .Punkt, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .speichern, .sicher, .pwm, .Seiten, .obj, .mlb, .mbx, .zündete, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .CSS, .Konfiguration, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .Nachricht, .mapimail, .jnt, .doc, .dbx, .Kontakt, .Mitte, .wma, .flv, .mkv, .bewegen, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wellenartig, .qcow2, .vdi, .vmdk, .vmx, .Brieftasche, .upk, .sparen, .ltx, .Litesql, .litemod, .lbf, .ichwi, .Schmiede, .das, .d3dbsp, .bsa, .Fahrrad, .Anlagegut, .apk, .gpg, .aes, .BOGEN, .PAQ, .Teer.bz2, .tbk, .backen, .Teer, .tgz, .selten, .Postleitzahl, .djv, .djvu, .svg, .bmp, .png, .gif, .roh, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .Schläger, .Klasse, .Krug, .Java, .asp, .brd, .sch, .dch, .tauchen, .vbs, .asm, .pass, .cpp, .php, .ldf, .mdf, .ibd, .MEIN ICH, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .PST, .onetoc2, .aufsteigen, .Lay6, .legen, .ms11 (Sicherheitskopie), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .sonderbar, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .Topf, .pps, .halt, .sxi, .otp, .odp, .Wochen, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .PUNKT, .max, .xml, .TXT, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.
So verhindern Sie Locky Ransomware-Angriffe
Locky ist ein gefährlicher Virus, der eine ernsthafte Bedrohung für Ihren PC darstellt. Es wird empfohlen, dass Sie diese Anweisungen befolgen, um Ransomware zu verhindern und eine Infektion zu vermeiden.
- Halten Sie immer eine Anti-Malware-Software und eine Anti-Ransomware-Software bereit, die Ihren PC schützt, und aktualisieren Sie ihn regelmäßig.
- Aktualisieren Sie Ihr Windows-Betriebssystem und den Rest Ihrer Software auf dem neuesten Stand, um mögliche Software-Exploits abzuwehren.
- Sichern Sie Ihre wichtigen Dateien regelmäßig. Es ist eine gute Option, sie offline zu speichern als auf einem Cloud-Speicher, da Viren auch dorthin gelangen können
- Deaktivieren Sie das Laden von Makros in Office-Programmen. Das Öffnen einer infizierten Word-Dokumentdatei kann sich als riskant erweisen!
- Öffnen Sie nicht blind E-Mails in den E-Mail-Abschnitten "Spam" oder "Junk". Dies könnte Sie dazu verleiten, eine E-Mail mit der Malware zu öffnen. Denken Sie nach, bevor Sie auf Weblinks auf Websites oder E-Mails klicken oder E-Mail-Anhänge von Absendern herunterladen, die Sie nicht kennen. Klicken oder öffnen Sie solche Anhänge nicht:
- Dateien mit .LNK-Erweiterung
- Dateien mit.wsf-Erweiterung
- Dateien mit doppelter Punkterweiterung (z. B. profile-p29d… wsf).
Lesen: Was nach einem Ransomware-Angriff auf Ihrem Windows-Computer zu tun ist?
So entschlüsseln Sie Locky Ransomware
Derzeit sind keine Entschlüsseler für die Locky-Ransomware verfügbar. Ein Decryptor von Emsisoft kann jedoch verwendet werden, um Dateien zu entschlüsseln, die mit . verschlüsselt wurden AutoLocky, eine weitere Ransomware, die auch Dateien in die umbenennt .Locky-Erweiterung. AutoLocky verwendet die Skriptsprache AutoI und versucht, die komplexe und ausgeklügelte Locky-Ransomware nachzuahmen. Die vollständige Liste der verfügbaren Ransomware-Entschlüsselungstools finden Sie hier.
Quellen & Credits: Microsoft | BleepingComputer | PCRisk.
