Locky Ransomware è micidiale! Ecco tutto quello che dovresti sapere su questo virus.

Locky è il nome di un Ransomware che si è evoluto in ritardo, grazie all`aggiornamento costante dell`algoritmo dai suoi autori. Locky, come suggerisce il nome, rinomina tutti i file importanti sul PC infetto dando loro un`estensione.locky e richiede un riscatto per le chiavi di decrittografia.

Locky ransomware - Evolution

Ransomware è cresciuto ad un ritmo allarmante nel 2016. Usa Email e Social Engineering per entrare nei tuoi sistemi informatici. La maggior parte delle e-mail con allegati malevoli conteneva il famoso ceppo di ransomware Locky. Tra i miliardi di messaggi che utilizzavano allegati di documenti dannosi, circa il 97% comprendeva Locky ransomware, che rappresenta un allarmante aumento del 64% rispetto al primo trimestre 2016 quando è stato scoperto.

Il Locky ransomware è stato rilevato per la prima volta Febbraio 2016 è stato inviato a mezzo milione di utenti. Locky è venuto alla ribalta quando a febbraio di quest`anno l`Hollywood Presbyterian Medical Center ha pagato un riscatto di bitcoin da $ 17.000 per la chiave di decodifica dei dati dei pazienti. Locky ha infettato i dati dell`Ospedale tramite un allegato e-mail camuffato come fattura Microsoft Word.

Da febbraio, Locky ha incatenato le sue estensioni nel tentativo di ingannare le vittime che sono state infettate da un Ransomware diverso. Locky ha iniziato a rinominare originariamente i file crittografati in .locky e quando è arrivata l`estate si è evoluta nell`estensione .zepto , utilizzata da più campagne da.

Ultimo ascolto, Locky sta ora crittografando i file con estensione .ODIN , cercando di confondere gli utenti che in realtà è il ransomware Odin.

Locky Ransomware

Locky ransomware si diffonde principalmente tramite campagne di spam inviate dagli aggressori. Queste email di spam hanno per lo più file.doc come allegati che contengono testo scrambled che sembra essere macro.

Una tipica email usata nella distribuzione di Locky ransomware può essere una fattura che attira l`attenzione dell`utente, ad esempio

Oggetto dell`email potrebbe essere - "ATTN: Fattura P-12345678", allegato infetto - " invoice_P-12345678.doc " (contiene macro che scaricano e installano Locky ransomware sui computer): "

E corpo dell`email" Gentile utente, consultare la fattura allegata (documento Microsoft Word) e inviare il pagamento in base ai termini elencati nella parte inferiore della fattura. Fateci sapere se avete domande. Apprezziamo molto la tua attività! "

Una volta che l`utente abilita le impostazioni macro nel programma Word, un file eseguibile che è in realtà il ransomware viene scaricato sul PC. Successivamente, vari file sul PC della vittima vengono crittografati dal ransomware fornendo loro unici nomi a combinazione di 16 lettere con .shit , .thor , .locky , .zepto o .odin estensioni di file. Tutti i file vengono crittografati utilizzando gli algoritmi RSA-2048 e AES-1024 e richiedono una chiave privata memorizzata sui server remoti controllati dai criminali informatici per la decrittografia.

Una volta i file sono crittografati, Locky genera un ulteriore file .txt e _HELP_instructions.html in ogni cartella contenente i file crittografati. Questo file di testo contiene un messaggio (come mostrato di seguito) che informa gli utenti della crittografia.

Indica inoltre che i file possono essere decifrati solo utilizzando un decrypter sviluppato da criminali informatici e costando.5 BitCoin. Quindi, per recuperare i file, alla vittima viene chiesto di installare il browser Tor e seguire un collegamento fornito nei file di testo / sfondo. Il sito Web contiene le istruzioni per effettuare il pagamento.

Non è garantito che anche dopo aver effettuato il pagamento, i file delle vittime verranno decifrati. Ma di solito per proteggere i suoi autori di "reputazione" ransomware di solito si attengono alla loro parte del patto.

Locky Ransomware che cambia dall`estensione da.wsf a.LNK

Pubblica la sua evoluzione quest`anno a febbraio; Le infezioni da Locky ransomware sono gradualmente diminuite con rilevamenti minori di Nemucod , che Locky usa per infettare i computer. (Nemucod è un file.wsf contenuto negli allegati.zip nell`e-mail di spam). Tuttavia, come riportato da Microsoft, gli autori di Locky hanno modificato l`allegato da .wsf file a file di scelta rapida (estensione LNK) che contengono comandi PowerShell per scaricare ed eseguire Locky.

An un esempio dell`email di spam qui sotto mostra che è fatto per attirare l`attenzione immediata degli utenti. Viene inviato con alta importanza e con caratteri casuali nella riga dell`oggetto. Il corpo dell`e-mail è vuoto.

l`e-mail di spam in genere si chiama Bill che arriva con un allegato.zip, che contiene i file.LNK. Aprendo l`allegato.zip, gli utenti attivano la catena di infezioni. Questa minaccia viene rilevata come TrojanDownloader: PowerShell / Ploprolo.A . Quando lo script PowerShell viene eseguito correttamente, scarica ed esegue Locky in una cartella temporanea che completa la catena di infezioni.

Tipi di file presi di mira da Locky Ransomware

Di seguito sono riportati i tipi di file scelti da Locky ransomware.

.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q mucca,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,. accdb,.7zip,.xls,.wab, ​​.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MDD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (copia di sicurezza),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Come prevenire l`attacco di Locky Ransomware

Locky è un virus pericoloso che possiede una grave minaccia per il tuo PC. Si consiglia di seguire queste istruzioni per prevenire il ransomware ed evitare di essere infettati.

1. Avere sempre un software anti-malware e un software anti-ransomware che protegge il PC e lo aggiorna regolarmente.
2. Aggiorna il tuo sistema operativo Windows e il resto del tuo software aggiornato per mitigare possibili exploit software.
3. Effettua regolarmente il backup dei tuoi file importanti. È una buona opzione per salvarli offline rispetto a uno spazio di archiviazione cloud poiché anche i virus possono raggiungerli
4. Disabilitare il caricamento di macro nei programmi di Office. Aprire un file di documento Word infetto potrebbe rivelarsi rischioso!
5. Non aprire ciecamente la posta nelle sezioni email "Spam" o "Junk". Questo potrebbe indurti ad aprire un`e-mail contenente il malware. Pensare prima di fare clic sui collegamenti Web su siti Web o e-mail o scaricare allegati e-mail da mittenti che non si conoscono. Non fare clic o aprire tali allegati:
1. File con estensione.LNK
2. File con estensione.wsf
3. File con estensione a doppio punto (ad esempio, profilo-p29d … wsf).

Lettura : Cosa fare dopo un attacco Ransomware sul tuo computer Windows?

Come decrittografare Locky Ransomware

A partire da ora, non ci sono decifratori disponibili per Locky ransomware. Tuttavia, è possibile utilizzare Decryptor di Emsisoft per decrittografare i file crittografati con AutoLocky , un altro ransomware che rinomina anche i file sull`estensione.locky. AutoLocky utilizza il linguaggio di scripting AutoI e prova a imitare il complesso e sofisticato ransomware di Locky. È possibile visualizzare l`elenco completo degli strumenti di decrittografia ransomware disponibili qui.

Origini e crediti : Microsoft | BleepingComputer | PCRisk.