Locky Ransomware est mortel! Voici tout ce que vous devez savoir sur ce virus.

Table des matières:

Locky Ransomware est mortel! Voici tout ce que vous devez savoir sur ce virus.
Locky Ransomware est mortel! Voici tout ce que vous devez savoir sur ce virus.

Vidéo: Locky Ransomware est mortel! Voici tout ce que vous devez savoir sur ce virus.

Vidéo: Locky Ransomware est mortel! Voici tout ce que vous devez savoir sur ce virus.
Vidéo: Kubernetes vs. Docker: It's Not an Either/Or Question - YouTube 2024, Mars
Anonim

Locky est le nom d'un Ransomware qui a évolué tardivement, grâce à la mise à jour constante de l'algorithme par ses auteurs. Locky, comme son nom l'indique, renomme tous les fichiers importants du PC infecté en leur donnant une extension. .locky et demande une rançon pour les clés de déchiffrement.

Locky ransomware - Evolution

Ransomware a connu une croissance alarmante en 2016. Il utilise Email & Social Engineering pour entrer dans vos systèmes informatiques. La plupart des courriels contenant des documents malveillants étaient accompagnés de la populaire souche Locky, un ransomware. Parmi les milliards de messages utilisant des pièces jointes malveillantes, environ 97% mentionnaient le ransomware Locky, ce qui représente une augmentation alarmante de 64% par rapport au premier trimestre 2016, date de sa découverte.

le Locky ransomware a été détecté pour la première fois en février 2016 et aurait été envoyé à un demi-million d'utilisateurs. Locky a été mis à l'honneur lorsque le centre médical presbytérien de Hollywood, en février de cette année, a payé une rançon de 17 000 $ Bitcoin pour la clé de déchiffrement des données patient. Locky a infecté les données de l'hôpital par le biais d'une pièce jointe à un courriel déguisée en facture Microsoft Word.

Depuis février, Locky enchaîne ses extensions dans le but de tromper les victimes qu’elles ont été infectées par un autre Ransomware. Locky a commencé à renommer les fichiers cryptés en .locky et au moment où l'été est arrivé, il a évolué vers le .zepto extension, qui a été utilisé dans plusieurs campagnes depuis.

Pour la dernière fois, Locky crypte maintenant des fichiers avec .ODIN extension, en essayant de confondre les utilisateurs qu’il s’agit en fait du ransomware Odin.

Locky Ransomware

Locky ransomware se propage principalement par le biais de campagnes de spam menées par les attaquants. Ces spams ont pour la plupart Fichiers.doc en pièces jointes qui contiennent du texte brouillé qui semble être des macros.

Un courrier électronique typique utilisé dans la distribution de ransomware Locky peut consister en une facture qui attire l’attention de la plupart des utilisateurs. Par exemple,

Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”

And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”

Image
Image

Une fois que l'utilisateur a activé les paramètres de macro dans le programme Word, un fichier exécutable, qui est en réalité le logiciel ransomware, est téléchargé sur le PC. Par la suite, divers logiciels sur le PC de la victime sont cryptés par le ransomware, ce qui leur donne des noms uniques de combinaisons à 16 lettres et chiffres avec .merde, .thor, .locky, .zepto ou .odin extensions de fichiers. Tous les fichiers sont cryptés en utilisant le RSA-2048 et AES-1024 algorithmes et nécessitent une clé privée stockée sur les serveurs distants contrôlés par les cybercriminels pour le déchiffrement.

Une fois les fichiers cryptés, Locky génère une quantité supplémentaire .SMS et _HELP_instructions.html fichier dans chaque dossier contenant les fichiers cryptés. Ce fichier texte contient un message (comme indiqué ci-dessous) qui informe les utilisateurs du cryptage.

Il indique en outre que les fichiers ne peuvent être déchiffrés qu'à l'aide d'un déchiffreur développé par les cybercriminels et coûtant 0,5 BitCoin. Par conséquent, pour récupérer les fichiers, il est demandé à la victime d'installer le navigateur Tor et de suivre un lien fourni dans les fichiers texte / fond d'écran. Le site Web contient des instructions pour effectuer le paiement.
Il indique en outre que les fichiers ne peuvent être déchiffrés qu'à l'aide d'un déchiffreur développé par les cybercriminels et coûtant 0,5 BitCoin. Par conséquent, pour récupérer les fichiers, il est demandé à la victime d'installer le navigateur Tor et de suivre un lien fourni dans les fichiers texte / fond d'écran. Le site Web contient des instructions pour effectuer le paiement.
Rien ne garantit que même après avoir effectué le paiement, les fichiers de la victime seront déchiffrés. Mais généralement pour protéger sa «réputation», les auteurs de logiciels ransomware respectent généralement leur part du marché.
Rien ne garantit que même après avoir effectué le paiement, les fichiers de la victime seront déchiffrés. Mais généralement pour protéger sa «réputation», les auteurs de logiciels ransomware respectent généralement leur part du marché.

Locky Ransomware passant de l'extension.wsf à l'extension.LNK

Diffusez son évolution cette année en février; Les infections au ransomware Locky ont progressivement diminué avec une moindre détection de Nemucod, que Locky utilise pour infecter les ordinateurs. (Nemucod est un fichier.wsf contenu dans des pièces jointes.zip dans un courrier électronique indésirable). Cependant, comme le rapporte Microsoft, les auteurs Locky ont modifié la pièce jointe de fichiers.wsf à fichiers de raccourci (Extension.LNK) contenant les commandes PowerShell pour télécharger et exécuter Locky.

Un exemple de courrier indésirable ci-dessous montre qu'il est conçu pour attirer immédiatement l'attention des utilisateurs. Il est envoyé avec une grande importance et avec des caractères aléatoires dans la ligne de sujet. Le corps de l'email est vide.

Image
Image

Le courrier électronique indésirable se nomme généralement lorsque Bill arrive avec une pièce jointe.zip, qui contient les fichiers.LNK. En ouvrant la pièce jointe.zip, les utilisateurs déclenchent la chaîne d'infection. Cette menace est détectée comme TrojanDownloader: PowerShell / Ploprolo.A. Lorsque le script PowerShell s'exécute avec succès, il télécharge et exécute Locky dans un dossier temporaire complétant la chaîne d'infection.

Types de fichiers ciblés par Locky Ransomware

Vous trouverez ci-dessous les types de fichiers ciblés par Locky ransomware.

.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Comment prévenir l'attaque de Locky Ransomware

Locky est un virus dangereux qui menace gravement votre PC. Il est recommandé de suivre ces instructions pour prévenir les ransomwares et éviter d’être infectés.

  1. Ayez toujours un logiciel anti-malware et un logiciel anti-ransomware protégeant votre PC et mettez-le à jour régulièrement.
  2. Mettez à jour votre système d'exploitation Windows et le reste de vos logiciels afin d'atténuer d'éventuels exploits logiciels.
  3. Sauvegardez régulièrement vos fichiers importants. C'est une bonne option de les enregistrer hors ligne que sur un stockage en nuage, car les virus peuvent également y accéder.
  4. Désactiver le chargement de macros dans les programmes Office. Ouvrir un fichier document Word infecté peut s'avérer risqué!
  5. N'ouvrez pas aveuglément le courrier dans les sections "Spam" ou "Spam". Cela pourrait vous amener à ouvrir un email contenant le malware. Réfléchissez bien avant de cliquer sur des liens Web sur des sites Web ou dans des courriels ou de télécharger des pièces jointes à des expéditeurs inconnus. Ne cliquez ni n'ouvrez de telles pièces jointes:
    1. Fichiers avec l'extension.LNK
    2. Fichiers avec l'extension.wsf
    3. Fichiers avec une extension à double point (par exemple, profile-p29d..wsf).

Lis: Que faire après une attaque de Ransomware sur votre ordinateur Windows?

Comment décrypter Locky Ransomware

Pour l'instant, il n'y a pas de décrypteur disponible pour le ransomware Locky. Cependant, un Decryptor de Emsisoft peut être utilisé pour déchiffrer des fichiers chiffrés par AutoLocky, un autre ransomware qui renomme également des fichiers portant l’extension.locky. AutoLocky utilise le langage de script AutoI et tente d'imiter le ransomware complexe et sophistiqué Locky. Vous pouvez voir la liste complète des outils de déchiffrement de ransomware disponibles ici.

Sources et Crédits: Microsoft | BleepingComputer | PCRisk.

Conseillé: