”Stefan” känns som ganska glada klingande namn. Men det är även smeknamnet på en ny stam av ransomware, så kallade eftersom det byter namn på alla dina viktiga filer så att de har filnamnstillägget .locky. Naturligtvis, det bara byta namn på inte dina filer, det blandar dem först och – som ni säkert vet om ransomware – bara skurkarna har dekrypteringsnyckeln. Du kan köpa dekrypteringsnyckeln från skurkar via så kallade mörka web. Priserna vi har sett varierar från BTC 0,5 till BTC 1.00 (BTC är kort för ”bitcoin,” där en bitcoin är för närvarande värd om $400 / £280).
Locky installerat via falska fakturor
Locky håller för närvarande på att distribueras via e-post som innehåller Word dokument bilagor med skadliga makron. E-postmeddelandet innehåller ett ämne som liknar ATTN: faktura J-98223146 och ett meddelande som ”Vänligen se bifogade fakturan (Microsoft Word-dokument) och remittera betalning enligt de termer som anges längst ned på fakturan”. Ett exempel på en av dessa e-postmeddelanden kan ses nedan.
bifogad till dessa email meddelanden kommer att vara en skadlig Word-dokument som innehåller ett namn som liknar invoice_J-17105013.doc. När dokumentet öppnas, texten kommer att vara kodade och dokumentet visas ett meddelande om att du bör aktivera makrona om texten är oläslig.
Hämta Removal Toolta bort .locky files virus
Det vanligaste sättet som Locky anländer är följande:
- Du får ett e-postmeddelande med ett bifogat dokument (Troj/DocDl-BCF).
- Dokumentet ser ut som fikonspråk.
- Dokumentet ger råd du aktivera makron ”om data kodningen är felaktig.”
- Om du aktiverar makron kan korrigera du faktiskt inte den textkodning (det är en undanflykt); istället, du kör kod i dokumentet som sparas en fil till disk och kör det.
- Den sparade filen (Troj/lösen-CGX) fungerar som en dataöverföring, som hämtar sista malware nyttolasten från skurkarna.
- Slutliga nyttolasten kan vara något, men i detta fall är vanligtvis den Locky Ransomware (Troj/lösen-CGW).
Locky klättrar alla filer som matchar en lång lista över tillägg, inklusive videor, bilder, källa koden och Office-filer. Locky även klättrar wallet.dat, Bitcoin plånbok filen om du har en. Med andra ord, om du har mer BTCs i plånboken än kostnaden för lösen, och ingen backup, är du mycket sannolikt att betala. (Och du vet redan hur man köper nya bitcoins, och hur man betalar med dem..) Locky tar också bort varje volym korten tjänst (VSS) filer, även känd som skuggkopior, som du har gjort. Skuggkopior är de Windows sätt att göra levande backup ögonblicksbilder utan att behöva sluta arbeta-du inte behöver logga ut eller ens stänga programmen först – så de är en snabb och populärt alternativ till en riktig backup förfarande.
En gång Locky är redo att slå dig för lösen, det gör att du ser följande meddelande genom att ändra din skrivbordsunderlägg:
om du besöker mörka webbsidan i varningsmeddelandet då du få instruktioner för betalning som vi visade ovan. Tyvärr, i den mån vi kan säga, det finns inga lätt genvägar att få dina data tillbaka om du inte har en aktuell säkerhetskopia. Minns också, att som de flesta ransomware, Locky inte bara förvränga din C: driva. Det klättrar några filer i en katalog på en monterad enhet att det kan komma åt, inklusive flyttbara enheter som är inkopplade på gång, eller nätverk aktier som är tillgängliga, inklusive servrar och andras datorer, oavsett om de kör Windows, OS X eller Linux. Om du är inloggad som domänadministratör och du träffas av ransomware, kunde du göra mycket omfattande skador faktiskt. Ge dig själv på framsidan all logik kraft du någonsin kan behöva är mycket bekvämt, men snälla gör det inte.
Locky krypterar data och ändrar helt filnamnen
När Locky startas kommer det att skapa och tilldela en unik 16 hexadecimala nummer till offer och ser ut som F67091F1D24A922B. Locky kommer sedan igenom alla lokala enheter och Omappade nätverksresurser för datafiler att kryptera. När du krypterar filer kommer det använda AES krypteringsalgoritm och bara kryptera de filer som matchar följande tillägg:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Dessutom hoppar Locky filer där den fullständiga sökväg och filnamn innehålla en av följande strängar:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
När Locky krypterar en fil det namnet på filen till formatet [unique_id] [ID] .locky. Så när test.jpg krypteras skulle det döpas till något liknande F67091F1D24A922B1A7FC27E19A9D9BC.locky. Unikt ID och annan information kommer också vara inbäddade i slutet av den krypterade filen.
Det är viktigt att betona att Locky kommer att kryptera filer på nätverksresurser även när de inte är kopplade till en lokal enhet. Som förväntat, detta blir mer och mer vanligt och alla systemadministratörer bör låsa ned alla öppna nätverket delade till lägsta möjliga behörigheter.
Som en del av krypteringsprocessen raderas Locky även alla volym skuggkopiorna på maskinen så att de inte kan användas för att återställa offrets filer. Locky gör detta genom att köra följande kommando:
vssadmin.exe Delete Shadows /All /Quiet
I Windows-skrivbordet och i varje mapp där en filen krypterades, skapar Locky lösen anteckningar kallas _Locky_recover_instructions.txt. Detta hotbrev innehåller information om vad som hände med offrets filer och länkar till sidan decrypter.
VAD GÖRA?
- Backup regelbundet och hålla en senaste säkerhetskopia utanför anläggningen. Det finns massor av sätt än ransomware som filer kan plötsligt försvinna, såsom brand, översvämning, stöld, en tappad laptop eller ens en oavsiktlig delete. Kryptera din backup och du slipper oroa dig för säkerhetskopieringsenheten faller i orätta händer.
- Inte aktivera makron i dokumentet bifogade filer via e-post. Microsoft stängt medvetet av auto-utförandet av makron som standard många år sedan som en säkerhetsåtgärd. En massa malware infektioner beroende övertala dig att aktivera makron tillbaka, så gör det inte!
- Vara försiktig om oönskad bilagor. Skurkarna är beroende av det dilemma som du inte ska öppna ett dokument tills du är säker på att det är du, men du kan inte berätta om det är något du vill tills du öppnar den. Om i tvivel, lämna ut.
- Inte ge dig själv mer login makt än du behöver. Viktigast, inte bo inloggad som en administratör längre än vad som är absolut nödvändigt, och undvika surfning, öppna dokument eller andra ”reguljärt arbete” aktiviteter medan du har administratörsbehörighet.
- Överväga installera Microsoft Office tittarna. Programmen viewer kan du se hur dokument se ut utan att öppna dem i Word eller Excel själv. I synnerhet stöder viewer-programvara inte makron alls, så du inte kan aktivera makron av misstag!
- Patch tidigt, ofta lapp. Skadlig kod som inte kommer i via dokument makron ofta förlitar sig på säkerhet buggar i populära program, inklusive Office, webbläsaren, Flash och mycket mer. Ju förr du lapp, färre öppna hål kvar för skurkar att utnyttja.
Hämta Removal Toolta bort .locky files virus
* SpyHunter scanner, publicerade på denna webbplats, är avsett att endast användas som ett identifieringsverktyg. Mer information om SpyHunter. För att använda funktionen för borttagning, kommer att du behöva köpa den fullständiga versionen av SpyHunter. Om du vill avinstallera SpyHunter, klicka här.
