Locky Ransomware Demonstration
תוכן עניינים:
Locky הוא שם של Ransomware כי כבר מתפתח מאוחר, הודות לשדרוג אלגוריתם מתמיד על ידי מחבריו. לוקי, כפי שהוצע על ידי שמו, משנה את שם כל הקבצים החשובים על המחשב הנגוע נותן להם תוסף.
בשיעור מדאיג בשנת 2016. היא משתמשת דוא"ל & הנדסה חברתית להיכנס למערכות המחשב שלך. רוב הודעות דוא"ל עם מסמכים זדוניים המצורפת בהשתתפות זן ransomware פופולרי לוקי. בין מיליארדי ההודעות שהשתמשו במסמכים זדוניים, כ -97% הציגו את Locky ransomware, עלייה מדהימה של 64% בהשוואה לרבעון הראשון של שנת 2016, כאשר התגלה לראשונה.Locky ransomware
זוהה לראשונה ב- פברואר 2016 ודווח על פי הדיווחים לחצי מיליון משתמשים. לוקי נכנס לאור הזרקורים, כאשר בחודש פברואר השנה שילם המרכז הרפואי הפרסביטריאני הוליווד כופר בסך 17,000 דולר של ביטקוין עבור מפתח הפענוח לנתוני המטופל. לוקי זיהה את הנתונים של בית החולים באמצעות קובץ מצורף לדואר אלקטרוני במסווה של חשבונית Microsoft Word.
מאז פברואר, Locky כבר שרשר את ההרחבות שלו כדי להונות קורבנות שהם נגועים על ידי Ransomware שונים. לוקי התחיל במקור לשנות את השם של הקבצים המוצפנים ל- . <>> וכאשר הגיע הקיץ הוא התפתח לתוסף
.zepto , אשר נעשה בו שימוש במספר מסעות פרסום מאז., Locky עכשיו מצפין קבצים עם .ODIN סיומת, מנסה לבלבל את המשתמשים כי הוא למעשה אונסין ransomware. Locky Ransomware
Locky ransomware בעיקר מתפשט באמצעות דואר זבל הודעות דוא"ל של התוקפים. הודעות דואר זבל אלה כוללות בעיקר הודעות .doc כקבצים מצורפים המכילים טקסט מקושקש המופיע כפקודות מאקרו.
הודעת דוא"ל טיפוסית המשמשת בהפצת Locky ransomware עשויה להיות של חשבונית שתופסת את תשומת הלב של רוב המשתמשים,
נושא הדוא"ל יכול להיות - "ATNN: חשבונית P-12345678" , קובץ מצורף נגוע - "
invoice_P-12345678.doc
" (מכיל פקודות מאקרו להורדה ולהתקנה של Locky ransomware במחשבים): " וגוף אימייל -" מישהו יקר, עיין בחשבונית המצורפת (מסמך Microsoft Word) ושלח תשלום בהתאם לתנאים הרשומים בתחתית החשבונית. ספר לנו אם יש לך שאלות. אנו מעריכים מאוד את העסק שלך! " ברגע שהמשתמש מאפשר הגדרות מאקרו בתוכנית Word, קובץ הפעלה שהוא למעשה ransomware יורדת במחשב. לאחר מכן, קבצים שונים על המחשב של הקורבן מוצפנים על ידי ransomware נותן להם 16 שמות אותיות ייחודיות עם אותיות עם shit,
. .zepto או .odin סיומות קבצים. כל הקבצים מוצפנים באמצעות האלגוריתמים RSA-2048 ו- AES-1024 ודורשים מפתח פרטי המאוחסן בשרתים המרוחקים הנשלטים על ידי עברייני הסייבר עבור פענוח. לאחר שהקבצים הם מוצפנים, לוקי מייצר עוד .txt ו _HELP_instructions.html קובץ בכל תיקיה המכילה את הקבצים המוצפנים. קובץ טקסט זה מכיל הודעה (כפי שמוצג להלן) המודיעה למשתמשים על ההצפנה.
עוד נאמר כי קבצים יכולים רק להיות מפוענח באמצעות decrypter שפותחה על ידי עבריינים הקיברנטי עולה 5. BitCoin. לפיכך, כדי לקבל את הקבצים בחזרה, הקורבן מתבקש להתקין את הדפדפן Tor ופעל על הקישור המסופק קבצי טקסט / טפט. האתר מכיל הוראות לביצוע התשלום. אין כל ערובה לכך שגם לאחר הפיכת הקבצים של קורבנות התשלום יופעלו. אבל בדרך כלל כדי להגן על "המוניטין" מחברים ransomware בדרך כלל מקל על החלק שלהם של העסקהלוקי Ransomware משתנה מ. Wsf ל LLK הארכה פוסט ההתפתחות שלה השנה בחודש פברואר; ליקויי ransomware נעלמו בהדרגה עם פחות גילוי של Nemucod , אשר לוקי משתמש כדי להדביק מחשבים. (Nemucod הוא קובץ.wsf הכלול ב-.zip קבצים מצורפים בדואר זבל). עם זאת, כפי שמדווח על ידי מיקרוסופט, מחברים לוקי שינו את הקובץ המצורף מ-
.wsf קבצים
עד
קבצי קיצור
(LNK), המכילים פקודות PowerShell להורדה ולהפעלת Locky. דוגמה של דואר זבל דואר להלן מראה כי הוא עשה כדי למשוך תשומת לב מיידית מהמשתמשים. הוא נשלח עם חשיבות גבוהה עם תווים אקראיים בשורת הנושא. הגוף של האימייל ריק. דואר זבל בדרך כלל שמות כמו ביל מגיע עם קובץ מצורף. Zip, המכיל את קבצי LNK. בפתיחת קובץ ה- zip המצורף, משתמשים מפעילים את שרשרת הזיהום. איום זה מזוהה כמו TrojanDownloader: PowerShell / Ploprolo.A . כאשר הסקריפט של PowerShell פועל בהצלחה, הוא מוריד ומבצע את Locky בתיקיה זמנית המסיימת את שרשרת הזיהוי. סוגי הקבצים הממוקדים על-ידי Locky Ransomware להלן סוגי הקבצים הממוקדים על-ידי Locky ransomware.
.yuv,. ysbcra,.xx,.xx,.xx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.q, xqx,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus.muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nwb,.nwb,.nop,.nop,.nf,.nf,.ndd,.mdc,.mdc,.mpc,.kddx,. kdbx,.jp,.iq,.ibz,.bb,.bb,.gry,.gray,.fhd,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dcs,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.brw,.bgt,.bbt,.bb,.bay,.Bank,.bad,.docdb,.adup,.adb,. acr,.acd,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q cd,.ped,.pdb,.pd,.pab,.st,.gv,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.db,.dit,.dat,.cmt,.bin,.xlk,.wad,.tlg.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nx,.nsf,.nsd,.nsd,.mos,.indd,.iif,.fpx,.ff,.dx,.dx,.dcr,.dx,. cf,.bk,.pp,.pad,.pc,.pc,.fxg,.flac,.eps,.dxb,.drw,.dc,.cs,.cr,.arw,.aac,.tht,.srt,.save,.safe,.pwm,.pages,.jj,.mlb,.mbx,.lit,.dxf,.dsg,.csv,.css,.csf,.cfg,.cfg,.cer,.xx,.aspx,.,.docx,.decx,.contact,.mid,.wma,.flv,.vv,.vmdk,.vmx,.wallet,.upk,.mv,.mv,.mov,.vav,.wav,.,.ttx,.liteql,.litem,.litf,.lbf,.i,.fpg,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,..tvz,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.dd,.dp,.vbs,.asm,.pas,.cpp,.php,.df,.dbf,.ddf,.dbf,.dqf,.dqf,.dqf,.dqf,. mss (עותק אבטחה),.sldm,.ppsmx,.ppam,.docb,.ml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm, ssd,.xtx,.xsx,.xlsm,.xlsb,.slk,.xlw,. xtt,.dlx,.docx,.dotx,.dot,.max,.xml,.txt,.CSV,.pdf,.Pdf,.PPS,.PP,.stw,.sxw,.tv,.dt,.DOC,.pem,.csr,.crt,.ke
כיצד למנוע התקפת לוקי Ransomware לוקי הוא וירוס מסוכן בעל איום חמור למחשב. מומלץ לבצע את ההוראות הבאות כדי למנוע ransomware ולהימנע מהידבקות. תמיד יש תוכנה נגד תוכנות זדוניות ותוכנה אנטי רנסווארה המגנה על המחשב שלך ומעדכנת אותו באופן קבוע.עדכן את מערכת ההפעלה Windows ואת שאר התוכנות שלך עדכניות כדי לצמצם את ניצול לרעה של תוכנות אפשריות.
לגבות את הקבצים החשובים שלך באופן קבוע. זוהי אפשרות טובה לשמור אותם במצב לא מקוון במקום אחסון ענן מאז הווירוס יכול להגיע לשם גם
בטל את הטעינה של פקודות מאקרו בתוכניות Office. פתיחת קובץ קובץ Word נגוע עלולה להיות מסוכנת!
אל תפתח את הדואר באופן עיוור בקטע `דואר זבל` או `זבל`. זה יכול לפתות אותך לתוך פתיחת דוא"ל המכיל את התוכנה הזדונית. חשוב לפני שתלחץ על קישורי אינטרנט באתרי אינטרנט או בהודעות דוא"ל או על הורדת קבצים מצורפים לדואר אלקטרוני מאת שולחים שאינך מכיר. אל תלחץ או תפתח קבצים מצורפים מסוג זה:
קבצים עם סיומת LLK
קבצים עם סיומת w.wsf
- קבצים עם סיומת כפולה (לדוגמה, פרופיל p29d … wsf)
- קרא
- : מה לעשות אחרי התקפת Ransomware במחשב Windows?
- כיצד לפענח Locky Ransomware
- נכון לעכשיו, אין decrypters זמין עבור Locky Ransomware. עם זאת, Decryptor מ Emsisoft ניתן להשתמש כדי לפענח קבצים מוצפנים על ידי
- AutoLocky
- , עוד ransomware כי גם משנה את שם הקובץ הרחבה. AutoLocky משתמשת שפת scripting AutoI ומנסה לחקות את המורכב ומתוחכם לוקי ransomware. אתה יכול לראות את הרשימה המלאה של כלי ransomware זמין decryptor כאן.
- מקורות אשראי
: Microsoft | BleepingComputer |
ערפילי Pandaria יוצא בשבוע הבא: הנה מה שאתה צריך לדעת
האחרונה של World of Warcraft הרחבה כוללת טון של חדש תכונות ומיקומים לחקור.
יש כמה Tidbits חיוני אתה צריך לדעת לפני שאתה להתחיל את הנתיב אל האנונימיות באינטרנט. ראשית, חשוב לדעת כיצד אנונימיזציה פרוקסי עבודה, כך שתוכל להבין את הפגמים המובנים שלהם. Anonymizers לפעול כאיש באמצע בזמן שאתה גולש באינטרנט, טיפול תקשורת בין המחשב שלך ואת האתר שאתה רוצה לגשת באופן אנונימי. אם אתה עושה הכל נכון, אתר היעד רואה רק מידע מהשירות אנונימיזציה, כך שהוא לא יכול לזהות את כתובת ה- IP הביתית שלך או מידע אישי אחר. [
[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]
אם יש לך הרבה קבצים בשם רע במחשב שלך, שינוי שם אותם הוא מייגע מאוד, בלשון המעטה. לכן מציאת תירוץ לא לעשות את זה הופך להיות ממש קל. מה שאתה צריך הוא כלי שינוי שם אצווה כי יעשה את כל זה בשבילך בתוך שניות ואת שם הקובץ Aptly בשם Renamer שואפת להיות כלי go-to באזור זה. כל מה שהוא צריך הוא קלט שלך להגיד את זה מה זה צריך לשנות בכל קובץ ושניות מאוחר יותר, זה נעשה. לאחר מכן אתה יכול לתהות מה כל הדגש היה על.
Renamer קובץ היא לא תוכנית חופשית, אבל אתה יכול לנסות את הדגמה חינם תכונה מוגבלת. אם אתה אוהב את זה, אתה יכול לרכוש את גרסת Unlimited נעולה עבור $ 20. אתר האינטרנט של היישום טוען כי קובץ Renamer הוא אינטואיטיבי וקל לשימוש, אבל למען האמת, אתה צריך לשחק עם זה קצת ולקבל את העיקרון של כל כלל כי התוכנית משתמשת כדי לבצע את השינויים לפני ביצוע שינויים סיטונאיים הקבצים שלך.