Locky Ransomware ist tödlich! Hier ist alles, was Sie über diesen Virus wissen sollten.

Locky ist der Name einer Ransomware, die sich dank des ständigen Algorithmus-Upgrades durch ihre Autoren in letzter Zeit weiterentwickelt hat. Wie der Name schon sagt, benennt Locky alle wichtigen Dateien auf dem infizierten PC um und erhält eine Erweiterung .locky und fordert Lösegeld für die Entschlüsselungsschlüssel.

Locky Ransomware - Evolution

Ransomware ist im Jahr 2016 in alarmierendem Tempo gewachsen. Es verwendet Email & Social Engineering, um in Ihre Computersysteme einzusteigen. Die meisten E-Mails mit angehängten bösartigen Dokumenten enthielten die beliebte Ransomware-Sorte Locky. Unter den Milliarden von Nachrichten, in denen schädliche Dokumentanhänge verwendet wurden, enthielten rund 97% Locky Ransomware. Dies ist eine alarmierende Steigerung von 64% gegenüber dem ersten Quartal 2016, als sie erstmals entdeckt wurde.

Das Locky Ransomware wurde erstmals im Februar 2016 entdeckt und Berichten zufolge an eine halbe Million Benutzer gesendet. Locky wurde ins Rampenlicht, als das Hollywood Presbyterian Medical Center im Februar dieses Jahres ein Bitcoin-Lösegeld in Höhe von $ 17.000 für den Entschlüsselungsschlüssel für Patientendaten zahlte. Locky infizierte die Krankenhausdaten über einen E-Mail-Anhang, der als Microsoft Word-Rechnung getarnt war.

Seit Februar verkettet Locky seine Erweiterungen, um Opfer zu täuschen, dass sie von einer anderen Ransomware infiziert wurden. Locky hat ursprünglich die verschlüsselten Dateien in umbenannt .locky und als der sommer ankam, entwickelte er sich zum .zepto Erweiterung, die seitdem in mehreren Kampagnen verwendet wurde.

Zuletzt hat Locky Dateien mit verschlüsselt .ODIN Erweiterung, versuchen Benutzer zu verwirren, dass es tatsächlich die Odin Ransomware ist.

Locky Ransomware

Locky Ransomware verbreitet sich hauptsächlich über Spam-E-Mail-Kampagnen der Angreifer. Diese Spam-Mails haben meistens .doc-Dateien als Anhänge die verschlüsselten Text enthalten, scheinen Makros zu sein.

Eine typische E-Mail, die in der Locky Ransomware-Distribution verwendet wird, kann beispielsweise eine Rechnung sein, die die meisten Benutzer auf sich aufmerksam macht,

E-Mail-Betreff könnte sein - "ATTN: Rechnung P-12345678", infizierter Anhang - “rechnung_P-12345678.doc”(Enthält Makros, die Locky Ransomware auf Computern herunterladen und installieren):”

Und E-Mail-Nachricht - „Sehr geehrte Damen und Herren, bitte lesen Sie die beigefügte Rechnung (Microsoft Word-Dokument) und überweisen Sie die Zahlung gemäß den unten auf der Rechnung aufgeführten Bedingungen. Lassen Sie uns wissen, wenn Sie Fragen haben. Wir schätzen Ihr Geschäft sehr! “

Sobald der Benutzer die Makroeinstellungen im Word-Programm aktiviert, wird eine ausführbare Datei, die eigentlich die Ransomware ist, auf den PC heruntergeladen. Danach werden verschiedene Dateien auf dem PC des Opfers durch die Ransomware verschlüsselt, wodurch ihnen eindeutige 16-stellige Kombinationsnamen mit gegeben werden .Scheisse, .thor, .locky, .zepto oder .Odin Dateierweiterungen. Alle Dateien werden mit dem verschlüsselt RSA-2048 und AES-1024 Algorithmen und erfordern einen privaten Schlüssel, der auf den Remote-Servern gespeichert ist, die von den Cyber-Kriminellen zur Entschlüsselung gesteuert werden.

Sobald die Dateien verschlüsselt sind, generiert Locky eine zusätzliche Datei .TXT und _HELP_instructions.html Datei in jedem Ordner, der die verschlüsselten Dateien enthält. Diese Textdatei enthält eine Nachricht (wie unten gezeigt), die Benutzer über die Verschlüsselung informiert.

Weiter heißt es, dass Dateien nur mit einem von Cyberkriminellen entwickelten Entschlüsselungscode entschlüsselt werden können .5 BitCoin. Um die Dateien zurückzubekommen, wird das Opfer aufgefordert, den Tor-Browser zu installieren und einem in den Textdateien / dem Hintergrund angegebenen Link zu folgen. Die Website enthält Anweisungen zur Zahlung.

Es gibt keine Garantie dafür, dass auch nach Zahlungseingang die Opferdateien entschlüsselt werden. Um seinen "Ruf" zu schützen, bleiben die Ransomware-Autoren jedoch in der Regel bei ihrem Teil des Handels.

Locky Ransomware wird von der Erweiterung .wsf zur Erweiterung .LNK geändert

Veröffentliche seine Entwicklung in diesem Jahr im Februar; Locky Ransomware-Infektionen haben mit weniger Erkennungen von allmählich abgenommen Nemucod, welche Locky verwendet, um Computer zu infizieren. (Nemucod ist eine .wsf-Datei, die in ZIP-Anhängen in Spam-E-Mails enthalten ist.) Wie Microsoft berichtet, haben Locky-Autoren den Anhang jedoch geändert .WSF-Dateien zu Verknüpfungsdateien (.LNK-Erweiterung), die PowerShell-Befehle zum Herunterladen und Ausführen von Locky enthalten.

Ein Beispiel für die Spam-E-Mail unten zeigt, dass die Benutzer sofort darauf aufmerksam gemacht werden. Es wird mit hoher Wichtigkeit und mit zufälligen Zeichen in der Betreffzeile gesendet. Der Körper der E-Mail ist leer.

Die Spam-E-Mail benennt normalerweise, wenn Bill mit einem ZIP-Anhang ankommt, der die .LNK-Dateien enthält. Beim Öffnen des ZIP-Anhangs lösen Benutzer die Infektionskette aus. Diese Bedrohung wird als erkannt TrojanDownloader: PowerShell / Ploprolo.A. Wenn das PowerShell-Skript erfolgreich ausgeführt wird, lädt es Locky herunter und führt es in einem temporären Ordner aus, um die Infektionskette abzuschließen.

Dateitypen, auf die Locky Ransomware abzielt

Unten finden Sie die Dateitypen, auf die Locky Ransomware abzielt.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .rr, .rf, .llitedb, .llite3, .sl., .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf , .nxl, .nwb, .nw, .nop, .nef, .nd, .myd, .mrw, .money, .mny, .mmw, .mfw, .md, .mdc, .lua, .kpdx,. kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gerade .grey, .braun, .fhd, .ffd, .exf, .erf, .erbsql. .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6 .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .back, .back, .awg, .apj, .ait, .agdl, .ads, .ads. adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .pc, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff .xlk, .wad, .tlg, .say, .sasbdat, .qbm, .qbb, .ptx, .pfx, .pef, .at, .oil, .odc, .nsh, .nsg, .nsg,. nsd, .m os, .indd, .iif, .fpx, .fff, .fdb, .dtd., .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .html. flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, ​​.rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql. lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak. tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .as, .pas, .cpp, .php, .ldf .mdf, .ibd, .MYI, .MYD, .frm, .od b, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Sicherheitskopie), .sldm, .sldx, .ppsm, .ppsx .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sti. sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xl, .xlm, .xlc, .dif, .stc, .xc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.

So verhindern Sie den Angriff von Locky Ransomware

Locky ist ein gefährlicher Virus, der eine ernsthafte Bedrohung für Ihren PC darstellt. Es wird empfohlen, dass Sie diese Anweisungen befolgen, um Ransomware zu verhindern und eine Infektion zu vermeiden.

1. Verwenden Sie immer eine Anti-Malware-Software und eine Anti-Ransomware-Software, die Ihren PC schützt und regelmäßig aktualisiert.
2. Aktualisieren Sie Ihr Windows-Betriebssystem und den Rest Ihrer Software auf dem neuesten Stand, um mögliche Softwareangriffe zu vermeiden.
3. Sichern Sie regelmäßig Ihre wichtigen Dateien. Es ist eine gute Option, sie offline als auf einem Cloud-Speicher speichern zu lassen, da Viren auch dort ankommen können
4. Deaktivieren Sie das Laden von Makros in Office-Programmen. Das Öffnen einer infizierten Word-Dokumentdatei kann riskant sein!
5. Öffnen Sie keine E-Mails blind in den E-Mail-Abschnitten "Spam" oder "Junk". Dies könnte Sie dazu bringen, eine E-Mail mit Malware zu öffnen. Denken Sie nach, bevor Sie auf Links auf Websites oder E-Mails klicken oder E-Mail-Anhänge von Absendern herunterladen, die Sie nicht kennen. Klicken oder öffnen Sie solche Anhänge nicht:

1. Dateien mit der Erweiterung .LNK
2. Dateien mit der Erweiterung .wsf
3. Dateien mit doppelter Punkterweiterung (z. B. profile-p29d… wsf).

Lesen: Was ist nach einem Ransomware-Angriff auf Ihrem Windows-Computer zu tun??

So entschlüsseln Sie Locky Ransomware

Zur Zeit sind für Locky Ransomware keine Entschlüsseler verfügbar. Ein Decryptor von Emsisoft kann jedoch zum Entschlüsseln von mit verschlüsselten Dateien verwendet werden AutoLocky, eine andere Ransomware, die auch Dateien in die Erweiterung .locky umbenennt. AutoLocky verwendet die Skriptsprache AutoI und versucht, die komplexe und hoch entwickelte Locky-Ransomware nachzuahmen. Die vollständige Liste der verfügbaren Ransomware-Entschlüsselungswerkzeuge finden Sie hier.

Quellen & Credits: Microsoft | BleepingComputer | PCRisk.