Locky è il nome di un Ransomware che si è evoluto in ritardo, grazie al costante aggiornamento dell'algoritmo da parte dei suoi autori. Locky, come suggerisce il nome, rinomina tutti i file importanti sul PC infetto dando loro un'estensione .locky e richiede un riscatto per le chiavi di decrittazione.
Locky ransomware - Evolution
Il Ransomware è cresciuto ad un ritmo allarmante nel 2016. Usa Email e Social Engineering per entrare nei tuoi sistemi informatici. La maggior parte delle e-mail con allegati malevoli conteneva il famoso ceppo di ransomware Locky. Tra i miliardi di messaggi che utilizzavano allegati di documenti dannosi, circa il 97% conteneva Locky ransomware, che rappresenta un allarmante aumento del 64% rispetto al primo trimestre 2016 quando fu scoperto.
Il Locky ransomware è stato rilevato per la prima volta a febbraio 2016 e, secondo quanto riferito, è stato inviato a mezzo milione di utenti. Locky è venuto alla ribalta quando a febbraio di quest'anno l'Hollywood Presbyterian Medical Center ha pagato un riscatto di bitcoin da $ 17.000 per la chiave di decodifica dei dati dei pazienti. Locky ha infettato i dati dell'Ospedale tramite un allegato di posta elettronica camuffato da fattura di Microsoft Word.
Da febbraio, Locky ha incatenato le sue estensioni nel tentativo di ingannare le vittime che sono state infettate da un Ransomware diverso. Locky ha iniziato a rinominare originariamente i file crittografati in .locky e quando arrivò l'estate si evolse in .zepto estensione, che è stata utilizzata in più campagne da allora.
Ultimo sentito, Locky ora sta crittografando i file con .ODIN estensione, cercando di confondere gli utenti che in realtà è il ransomware Odin.
Locky Ransomware
Locky ransomware si diffonde principalmente tramite campagne di e-mail di spam gestite dagli aggressori. Queste e-mail di spam hanno per lo più File.doc come allegati che contengono testo scrambled che sembra essere macro.
Una tipica email usata nella distribuzione di Locky ransomware può essere una fattura che attira l'attenzione dell'utente, ad esempio
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Una volta che l'utente abilita le impostazioni macro nel programma Word, un file eseguibile che è in realtà il ransomware viene scaricato sul PC. Successivamente, vari file sul PC della vittima vengono crittografati dal ransomware, che fornisce loro un unico nome combinazione di 16 lettere .merda, .thor, .locky, .zepto o .odin estensioni di file. Tutti i file sono crittografati usando il RSA-2048 e AES-1024 algoritmi e richiedono una chiave privata memorizzata sui server remoti controllati dai criminali informatici per la decodifica.
Una volta che i file sono stati crittografati, Locky genera un ulteriore .testo e _HELP_instructions.html file in ogni cartella contenente i file crittografati. Questo file di testo contiene un messaggio (come mostrato di seguito) che informa gli utenti della crittografia.
Locky Ransomware che passa dall'estensione.wsf a.LNK
Pubblica la sua evoluzione quest'anno a febbraio; Le infezioni da Locky ransomware sono gradualmente diminuite con rilevazioni minori Nemucod, che Locky usa per infettare i computer. (Nemucod è un file.wsf contenuto negli allegati.zip nell'e-mail di spam). Tuttavia, come riportato da Microsoft, gli autori di Locky hanno modificato l'allegato da File.wsf a file di scelta rapida (Estensione.LNK) che contengono i comandi di PowerShell per scaricare ed eseguire Locky.
Un esempio della mail di spam qui sotto mostra che è fatto per attirare l'attenzione immediata degli utenti. Viene inviato con alta importanza e con caratteri casuali nella riga dell'oggetto. Il corpo dell'e-mail è vuoto.
In genere l'e-mail di spam viene indicata con l'allegato.zip, che contiene i file.LNK. Aprendo l'allegato.zip, gli utenti attivano la catena di infezioni. Questa minaccia è rilevata come TrojanDownloader: PowerShell / Ploprolo.A. Quando lo script di PowerShell viene eseguito correttamente, scarica ed esegue Locky in una cartella temporanea che completa la catena di infezioni.
Tipi di file presi di mira da Locky Ransomware
Di seguito sono riportati i tipi di file presi di mira da Locky ransomware.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Come prevenire l'attacco di Locky Ransomware
Locky è un virus pericoloso che possiede una grave minaccia per il tuo PC. Si consiglia di seguire queste istruzioni per prevenire il ransomware ed evitare di essere infettati.
- Avere sempre un software anti-malware e un software anti-ransomware che protegge il PC e lo aggiorna regolarmente.
- Aggiorna il tuo sistema operativo Windows e il resto del tuo software aggiornato per mitigare possibili exploit software.
- Esegui regolarmente il backup dei tuoi file importanti. È una buona opzione per averli salvati offline rispetto a quelli su un cloud storage poiché anche i virus possono raggiungerli
- Disabilitare il caricamento di macro nei programmi di Office. L'apertura di un file di documento Word infetto potrebbe rivelarsi rischioso!
- Non aprire la posta alla cieca nelle sezioni email "Spam" o "Junk". Questo potrebbe indurti ad aprire un'e-mail contenente il malware. Pensare prima di fare clic sui collegamenti Web su siti Web o e-mail o scaricare allegati e-mail da mittenti che non si conoscono. Non fare clic o aprire tali allegati:
- File con estensione.LNK
- File con estensione.wsf
- File con estensione a doppio punto (ad esempio, profilo-p29d..wsf).
Leggere: Cosa fare dopo un attacco Ransomware sul tuo computer Windows?
Come decifrare Locky Ransomware
A partire da ora, non ci sono decrypters disponibili per Locky ransomware. Tuttavia, è possibile utilizzare Decryptor di Emsisoft per decrittografare i file crittografati da AutoLocky, un altro ransomware che rinomina anche i file sull'estensione.locky. AutoLocky utilizza il linguaggio di scripting AutoI e prova a imitare il complesso e sofisticato ransomware di Locky. Qui puoi vedere l'elenco completo degli strumenti di decryptor ransomware disponibili.
Fonti e crediti: Microsoft | BleepingComputer | PCRisk.
