Malware

0 Kommentar

“Locky” føles som en hel muntre-klingende navn. Men det er også kaldenavnet på en ny stamme af ransomware, såkaldte fordi det omdøber alle dine vigtige filer, således at de har filtypenavnet .locky. Selvfølgelig, det gør ikke bare omdøbe filerne kodes dem først og – som du sikkert ved om ransomware – kun svindlerne har krypteringsnøglen. Du kan købe krypteringsnøglen fra svindlere via den såkaldte mørke web. De priser, vi har set varierer fra BTC 0,5 til BTC 1,00 (BTC er forkortelse for “bitcoin,” hvor en bitcoin er i øjeblikket værd omkring $400 / £280).

Locky installeret via falske fakturaer

Locky er i øjeblikket distribueres via e-mail, der indeholder Word dokument vedhæftede filer med skadelige makroer. E-mailen vil indeholde et emne ligner att: faktura J-98223146 og en besked såsom “Kan du se den vedlagte faktura (Microsoft Word-dokument) og Remitter betaling ud fra de betingelser, der er anført i bunden af fakturaen”.  Et eksempel på en af disse e-mails kan ses nedenfor.

locky files virus vedlagte til disse e-mail beskeder vil være en skadelig Word-dokument, der indeholder et navn, der svarer til invoice_J-17105013.doc. Når dokumentet er åbnet, teksten vil være forvrænget og dokumentet vil vise en meddelelse om, at du skal aktivere makroerne, hvis teksten er ulæselig.

Download værktøj til fjernelse affjerne .locky files virus

Den mest almindelige måde, at Locky ankommer er som følger:

  • Du modtager en e-mail med et vedhæftet dokument (Troj/DocDl-BCF).
  • Dokumentet ligner gobbledegook.
  • Dokumentet råder dig til at aktivere makroer “Hvis data-kodning er ukorrekte.”
  • Hvis du aktiverer makroerne, ret du faktisk ikke tekstkodning (det er et påskud); i stedet, du køre kode inde i det dokument, der gemmer en fil på disken og kører den.
  • Den gemte fil (Troj/Ransom-CGX) fungerer som en downloadet, som henter den endelige malware payload fra svindlerne.
  • Den endelige nyttelast kunne være noget, men i dette tilfælde er normalt den Locky Ransomware (Troj/Ransom-CGW).

Locky krypterer alle filer der matcher en lang liste over udvidelser, herunder videoer, billeder, kildekode og Office-filer. Locky selv krypterer wallet.dat, filen Bitcoin tegnebog, hvis du har en. Med andre ord, hvis du har flere BTCs i din tegnebog end udgifterne til løsesum, og ingen sikkerhedskopi, er du meget sandsynligt, at betale. (Og du vil allerede vide, hvordan at købe nye bitcoins, og hvordan til at betale med dem.) Locky fjerner også eventuelle filer med Volume Snapshot Service (VSS), også kendt som skygge eksemplarer, som du kan have gjort. Skygge eksemplarer er Windows måde at gøre live backup snapshots uden at skulle stoppe med at arbejde-du ikke behøver at logge ud eller endda lukke dine programmer først – så de er en hurtig og populære alternativ til en ordentlig backup procedure.

En gang Locky er klar til at slå dig op for løsepenge, det gør, at du ser følgende meddelelse ved at ændre din desktop tapet:

Locky Virus hvis du besøger den mørke webside i advarselsmeddelelsen, derefter modtager du instruktioner for betaling, vi viste ovenfor. Desværre, så vidt vi kan se, er der ingen nem genvej til at få dine data tilbage, hvis du ikke har en nyere sikkerhedskopi. Husk også, at Locky ligesom de fleste ransomware, bare ikke forvrænge jeres C: drive. Det krypterer alle filer i en mappe på en monteret drev at det kan få adgang, herunder flytbare drev, der er tilsluttet på tidspunktet, eller netværk aktier der er tilgængelige, herunder servere og andre folks computere, uanset om de kører Windows, OS X eller Linux. Hvis du er logget ind som en domæneadministrator og du bliver ramt af ransomware, kan du gøre meget udbredte skader faktisk. At give dig selv op foran alle login magt skal du måske nogensinde er meget bekvemt, men kan du ikke gøre det.

Locky krypterer dine data og ændrer fuldstændig filnavne

Når Locky er startet det vil oprette og tildele en unik 16 hexadecimal nummer til ofret og ser gerne F67091F1D24A922B. Locky vil derefter scanne alle lokale drev og ikke-tilknyttede netværksshares dataarkiver til at kryptere. Når du krypterer filer vil det bruge AES krypteringsalgoritmen og kun kryptere de filer, der stemmer overens med følgende filtypenavne:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Desuden vil Locky springe filer hvor den fuld sti og et filnavn indeholde en af følgende strenge:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

Når Locky krypterer en fil vil det omdøbe filen til formatet [unique_id] [id] .locky.  Så når test.jpg krypteres ville det blive omdøbt til noget som F67091F1D24A922B1A7FC27E19A9D9BC.locky.  Det entydige ID og andre oplysninger vil også være indlejret i slutningen af den krypterede fil.

Det er vigtigt at understrege, at Locky vil kryptere filer på netværksshares, selv når de ikke er knyttet til et lokalt drev. Som forudsagt, dette bliver mere og mere almindelig og alle systemadministratorer skal låse ned alle åbne netværket delte de laveste tilladelser muligt.

Som en del af krypteringen, vil Locky også slette alle volumen øjebliksbilleder på maskinen, så at de ikke kan bruges til at gendanne ofrets filer. Locky gør dette ved at udføre følgende kommando:

vssadmin.exe Delete Shadows /All /Quiet

I Windows-skrivebordet og i hver mappe, hvor en filen blev krypteret, vil Locky skabe løsesum noter kaldet _Locky_recover_instructions.txt. Denne løsesum notat indeholder oplysninger om, hvad der skete med ofrets filer og links til siden decrypter.

HVAD MAN SKAL GØRE?

  • Backup regelmæssigt og holde en nyere sikkerhedskopi off-site. Der er snesevis af andre måder end ransomware, at filer kan pludselig forsvinde, såsom brand, oversvømmelse, tyveri, en faldt laptop eller endda en utilsigtet sletning. Kryptere din backup og du behøver ikke at bekymre sig om backup enhed falder i de forkerte hænder.
  • Ikke aktivere makroer i dokumentet vedhæftede filer modtages via e-mail. Microsoft slået bevidst fra auto-udførelse af makroer som standard for mange år siden som en sikkerhedsforanstaltning. En masse af malware infektioner stole på at overtale dig til at slå makroer tilbage på, så gør det ikke!
  • Skal være forsigtig med uopfordrede vedhæftede filer. Svindlerne er afhængige af det dilemma, du ikke bør åbne et dokument, indtil du er sikker på det er, du ønsker, men du kan ikke fortælle, hvis det er en du vil indtil du åbner den. Hvis du er i tvivl, skal du lade det ud.
  • Ikke give dig selv mere login magt end du har brug for. Vigtigst af alt, ikke blive logget ind som administrator længere end det er strengt nødvendigt, og undgå browsing, åbning dokumenter eller andre “fast arbejde” aktiviteter, mens du har administratorrettigheder.
  • Overveje installation af Microsoft Office seere. Disse fremviserprogram lade dig se, hvad dokumenter ser ud uden at åbne dem i Word eller Excel, selv. Især understøtter viewer-softwaren ikke makroer på alle, så du ikke kan aktivere makroer ved en fejltagelse!
  • Patch tidligt, patch ofte. Malware, der ikke kommer via dokumentet makroer ofte bygger på sikkerhed bugs i populære applikationer, herunder kontor, din browser, Flash og meget mere. Jo hurtigere du lappe, færre åbne huller forblive for svindlere at udnytte.

Download værktøj til fjernelse affjerne .locky files virus

* SpyHunter scanner, offentliggjort på dette websted, er bestemt til at bruges kun som et registreringsværktøj. mere info på SpyHunter. Hvis du vil bruge funktionen til fjernelse, skal du købe den fulde version af SpyHunter. Hvis du ønsker at afinstallere SpyHunter, klik her.

Tilføj en kommentar

Top Rated Antispyware

  • MalwareBytes

    MalwareBytes

    MalwareBytes er en høj kvalitet anti-malware program, der lover at beskytte brugerne mod malware-angreb. Vi er af den o... Mere

    Download
  • SpyHunter 4

    SpyHunter

    SpyHunter er en kraftfulde anti-malware værktøj, der kan tage sig af din computersystem. Det virker både som malware ... Mere

    Download
  • StopZilla

    STOPzilla

    STOPzilla er en troværdig anti-malware program, der kan registrere, blokere og fjerne skadelige programmer fra din PC. ... Mere

    Download