Locky Ransomware เป็นอันตรายถึงชีวิต! นี่คือทั้งหมดที่คุณควรทราบเกี่ยวกับไวรัสนี้

Locky คือชื่อของ Ransomware ที่ได้รับการพัฒนาไปโดยไม่ล่าช้า โดยผู้เขียน Locky ransomware - Evolution Ransomware Rowsomware ได้เติบโตขึ้นเรื่อย ๆ โดยมีชื่อเรียกตามชื่อไฟล์เปลี่ยนชื่อไฟล์สำคัญทั้งหมดบนเครื่องพีซีที่ติดไวรัสทำให้มีการขยาย.locky

และเรียกร้องค่าไถ่กุญแจถอดรหัส ในอัตราที่น่าตกใจในปี 2016 ใช้ Email & Social Engineering เพื่อเข้าสู่ระบบคอมพิวเตอร์ของคุณ อีเมลส่วนใหญ่ที่มีเอกสารที่เป็นอันตรายแนบมาเป็นจุดเด่นของ ransomware stine Locky ในบรรดาข้อความนับพันล้านฉบับที่ใช้เอกสารแนบที่เป็นอันตรายประมาณ 97% ให้ความสำคัญกับ Locky ransomware ซึ่งเป็นตัวเลขที่เพิ่มขึ้นอย่างน่าอัศจรรย์ 64% เมื่อเทียบกับไตรมาสที่ 1 ของปี พ.ศ. 2559 เมื่อค้นพบครั้งแรก

rkeyware กุมภาพันธ์ 2016 และถูกส่งไปยังผู้ใช้ครึ่งล้านคน Locky เข้ามาแฉเมื่อเดือนกุมภาพันธ์ปีนี้ศูนย์การแพทย์เพรสไบทีเรียนฮอลลีวู้ดได้จ่ายเงินค่าไถ่ Bitcoin จำนวน 17,000 เหรียญสำหรับคีย์การถอดรหัสข้อมูลผู้ป่วย ข้อมูลจากโรงพยาบาลที่ติดเชื้อของ Locky ผ่านเอกสารแนบอีเมลที่ปลอมแปลงเป็นใบแจ้งหนี้ของ Microsoft Word ตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา Locky ได้ผูกมัดส่วนขยายดังกล่าวเพื่อหลอกลวงผู้ที่ตกเป็นเหยื่อว่าติดเชื้อ Ransomware อื่น Locky เริ่มต้นการเปลี่ยนชื่อไฟล์ที่เข้ารหัสลับเป็น

.locky และเมื่อถึงช่วงฤดูร้อนแล้วจะมีการพัฒนาเป็นส่วนขยาย .zepto ซึ่งใช้กันในหลายแคมเปญตั้งแต่ ได้ยินครั้งสุดท้าย Locky Ransomware

Locky Ransomware ส่วนใหญ่แพร่ระบาดผ่านทางแคมเปญอีเมลขยะที่ดำเนินการโดยผู้บุกรุก Locky Ransomware Locky Ransomware Locky Ransomware

Locky Ransomware มีการเข้ารหัสไฟล์ที่มีนามสกุล

.odin อีเมลขยะเหล่านี้มีไฟล์ .doc

เป็นไฟล์แนบ

ที่มีข้อความที่เข้ารหัสเป็นมาโคร อีเมลทั่วไปที่ใช้ในการแจกจ่าย ransomware แบบ Locky อาจเป็นใบแจ้งหนี้ที่ดึงดูดความสนใจของผู้ใช้ส่วนใหญ่ได้ตัวอย่างเช่น < หัวเรื่องอีเมล์อาจเป็น "ATTN: Invoice P-12345678" ไฟล์แนบที่ติดไวรัส - "

invoice_P-12345678.doc

" (ประกอบด้วยมาโครที่ดาวน์โหลดและติดตั้ง ransomware แบบล็อคบนคอมพิวเตอร์): " และเนื้อหาอีเมล -" เรียนผู้อื่นโปรดดูใบแจ้งหนี้ที่แนบมา (Microsoft Word Document) และส่งการชำระเงินตามเงื่อนไขที่แสดงไว้ที่ด้านล่างของใบแจ้งหนี้ แจ้งให้เราทราบหากคุณมีคำถามใด ๆ เราขอบคุณอย่างมากสำหรับธุรกิจของคุณ! " เมื่อผู้ใช้เปิดใช้งานการตั้งค่ามาโครในโปรแกรม Word จะมีการดาวน์โหลดไฟล์ปฏิบัติการที่เป็นค่าไถ่ถอนลงบนเครื่องพีซี หลังจากนั้นไฟล์ต่างๆในเครื่องคอมพิวเตอร์ของเหยื่อจะได้รับการเข้ารหัสโดย ransomware ทำให้พวกเขามีชื่อรวมกันของ 16 ตัวอักษรที่แตกต่างกันโดยมี .shit , .thor.locky.zepto หรือ .odin นามสกุลของไฟล์ ไฟล์ทั้งหมดจะถูกเข้ารหัสโดยใช้อัลกอริทึม RSA-2048 และ

AES-1024 และต้องการคีย์ส่วนตัวที่จัดเก็บไว้ในเซิร์ฟเวอร์ระยะไกลที่ควบคุมโดยอาชญากรไซเบอร์เพื่อถอดรหัสลับ Locky จะสร้างไฟล์ .txt และ

_HELP_instructions.html

เพิ่มเติมในแต่ละโฟลเดอร์ที่มีไฟล์ที่เข้ารหัสลับ แฟ้มข้อความนี้มีข้อความ (ดังแสดงด้านล่าง) ที่แจ้งให้ผู้ใช้ทราบว่ามีการเข้ารหัส

ระบุว่าไฟล์สามารถถูกถอดรหัสโดยใช้ decrypter ที่พัฒนาขึ้นโดยอาชญากรไซเบอร์เท่านั้นและมีต้นทุนเพิ่มขึ้น 5 BitCoin ดังนั้นเพื่อให้ได้ไฟล์กลับเหยื่อจะถูกขอให้ติดตั้งเบราเซอร์ Tor และทำตามลิงค์ที่ระบุในไฟล์ข้อความ / wallpaper เว็บไซต์มีคำแนะนำในการชำระเงิน

ไม่มีการรับประกันว่าแม้จะทำให้ไฟล์เหยื่อการชำระเงินถูกถอดรหัสแล้วก็ตาม แต่โดยปกติแล้วเพื่อปกป้องชื่อเสียงของผู้เขียน ransomware มักจะติดอยู่กับการต่อรองของพวกเขา Locky Ransomware เปลี่ยนจาก. wfs เป็น. LNK extension โพสต์วิวัฒนาการของปีนี้ในเดือนกุมภาพันธ์ การติดเชื้อ Ransomware แบบ Locky ลดลงเรื่อย ๆ ด้วยการตรวจพบน้อยกว่า Nemucod ซึ่ง Locky ใช้ในการติดไวรัสคอมพิวเตอร์ (Nemucod เป็นไฟล์. wf ที่มีอยู่ใน.zip ไฟล์แนบในอีเมลขยะ) อย่างไรก็ตามในฐานะที่เป็นรายงานของ Microsoft ผู้เขียน Locky ได้เปลี่ยนไฟล์แนบจากไฟล์ทางลัด .wsf files to

<ล้วนเป็นส่วนขยาย LNK ที่มีคำสั่ง PowerShell เพื่อดาวน์โหลดและรัน Locky

ตัวอย่างอีเมลสแปมด้านล่างแสดงให้เห็นว่ามีการทำเพื่อดึงดูดความสนใจจากผู้ใช้โดยทันที มีการส่งข้อความที่มีความสำคัญสูงและมีอักขระแบบสุ่มในบรรทัดเรื่อง เนื้อหาของอีเมลว่างเปล่า อีเมลสแปมมักมีชื่อเป็น Bill มาพร้อมกับไฟล์. zip ที่มีไฟล์. LNK ในการเปิดไฟล์. zip ผู้ใช้จะเรียกใช้สายการติดเชื้อ ภัยคุกคามนี้ถูกตรวจพบว่า TrojanDownloader: PowerShell / Ploprolo.A

เมื่อสคริปต์ PowerShell ทำงานเสร็จสิ้นจะดาวน์โหลดและรัน Locky ในโฟลเดอร์ชั่วคราวที่ติดตั้งระบบการติดไวรัส

ประเภทไฟล์ที่กำหนดเป้าหมายโดย Locky Ransomware

ด้านล่างนี้เป็นประเภทไฟล์ที่กำหนดเป้าหมายโดย Locky ransomware

.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.rbw,.qbb,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nww,.nrw,.nop,.nf,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kbbx,.jpe,.incpas,.iiq,.ibz,.bank,.hbk,.gry,.grey,.gray,.fhd,.fd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddr,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.it,.agd,.ads,.adb, acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q วลี,.pdb,.pd,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.il,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.if,.fpx,.fef,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.ac,.thrs,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.accdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi, accdb,.7zip,.xls,.wab, ​​.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mov,.mov,.avi,.asf,.mpeg,.vob,.mpg,.vmx,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdd,.jd,.mdd,.jpg,.mdd,.jd,.jpg,.dbf,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (สำเนาการรักษาความปลอดภัย),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xls, xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

วิธีการ ป้องกันการโจมตีจาก Locky Ransomware

1. Locky เป็นไวรัสอันตรายที่มีภัยคุกคามร้ายแรงต่อเครื่องคอมพิวเตอร์ของคุณ ขอแนะนำให้คุณปฏิบัติตามคำแนะนำต่อไปนี้เพื่อป้องกัน ransomware และหลีกเลี่ยงการติดไวรัส
2. ควรมีซอฟต์แวร์ป้องกันมัลแวร์และซอฟต์แวร์ป้องกัน ransomware ที่ปกป้องคอมพิวเตอร์ของคุณและอัพเดตเป็นประจำ
3. อัพเดตระบบปฏิบัติการ Windows ของคุณและซอฟต์แวร์ที่เหลือของคุณให้ทันสมัยอยู่เสมอเพื่อลดการโจมตีซอฟต์แวร์ที่อาจเกิดขึ้น
4. สำรองไฟล์สำคัญของคุณเป็นประจำ เป็นตัวเลือกที่ดีที่จะช่วยให้พวกเขาบันทึกแบบออฟไลน์ได้มากกว่าที่เก็บข้อมูลแบบคลาวด์เนื่องจากไวรัสสามารถเข้าถึงได้เช่นกัน
5. ปิดการใช้งานแมโครในโปรแกรม Office การเปิดไฟล์เอกสาร Word ที่ติดไวรัสอาจทำให้เกิดความเสี่ยง!
1. อย่าเปิดอีเมลโดยสุ่มสี่สุ่มงูในส่วนอีเมล "สแปม" หรือ "ขยะ" ซึ่งอาจหลอกลวงให้คุณเปิดอีเมลที่มีมัลแวร์ คิดก่อนที่จะคลิกลิงก์บนเว็บไซต์หรืออีเมลหรือดาวน์โหลดไฟล์แนบอีเมลจากผู้ส่งที่คุณไม่รู้จัก อย่าคลิกหรือเปิดไฟล์แนบดังกล่าว:
2. ไฟล์ที่มีนามสกุล. LNK
3. ไฟล์ที่มีนามสกุล.

ไฟล์ที่มีส่วนขยายแบบจุดคู่ (ตัวอย่างเช่น profile-p29d … wsf) อ่าน

: จะทำอย่างไรหลังจากการโจมตี Ransomware บนคอมพิวเตอร์ที่ใช้ Windows ของคุณ

วิธีถอดรหัส Locky Ransomware ณ ตอนนี้ไม่มี decrypters สำหรับ ransomware แบบ Locky อย่างไรก็ตาม Decryptor จาก Emsisoft สามารถใช้เพื่อถอดรหัสไฟล์ที่เข้ารหัสโดย AutoLocky

อีกหนึ่ง ransomware ที่เปลี่ยนชื่อไฟล์เป็นนามสกุล. locky AutoLocky ใช้ภาษาสคริปต์ AutoI และพยายามเลียนแบบ ransomware แบบล็อคที่ซับซ้อนและซับซ้อน คุณสามารถดูรายการเครื่องมือถอดรหัส ransomware ได้ที่นี่ แหล่งที่มาและเครดิต