Locky é o nome de um Ransomware que está evoluindo tarde, graças à atualização constante do algoritmo por seus autores. Locky, como sugerido por seu nome, renomeia todos os arquivos importantes no PC infectado, dando-lhes uma extensão .locky e exige resgate pelas chaves de decodificação.
Ransomware Locky - Evolução
O ransomware cresceu em um ritmo alarmante em 2016. Ele usa o Email & Social Engineering para inserir seus sistemas de computador. A maioria dos e-mails com documentos maliciosos anexados apresentava a popular cepa de ransomware Locky. Entre os bilhões de mensagens que usavam anexos de documentos maliciosos, cerca de 97% apresentavam o ransomware Locky, um aumento alarmante de 64% em relação ao primeiro trimestre de 2016, quando foi descoberto pela primeira vez.
o Ransomware locky foi detectado pela primeira vez em fevereiro de 2016 e teria sido enviado para meio milhão de usuários. Locky ganhou destaque quando, em fevereiro deste ano, o Hollywood Presbyterian Medical Center pagou um resgate de US $ 17 mil em Bitcoins pela chave de descriptografia dos dados dos pacientes. Locky infectou os dados do Hospital por meio de um anexo de e-mail disfarçado como uma fatura do Microsoft Word.
Desde fevereiro, Locky vem encadeando suas extensões em uma tentativa de enganar as vítimas de que elas foram infectadas por um Ransomware diferente. Locky começou originalmente renomeando os arquivos criptografados para .locky e no momento em que o verão chegou, evoluiu para o .zepto extensão, que tem sido usada em várias campanhas desde.
A última vez que ouviu falar, Locky agora está criptografando arquivos com .ODIN extensão, tentando confundir os usuários que é realmente o ransomware Odin.
Locky Ransomware
O ransomware Locky se espalha principalmente através de campanhas de e-mails de spam executados pelos invasores. Esses e-mails de spam têm principalmente arquivos.doc como anexos que contêm texto embaralhado que parece ser macros.
Um e-mail típico usado na distribuição de ransomware do Locky pode ser uma fatura que chama mais a atenção do usuário. Por exemplo,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Depois que o usuário habilita as configurações de macro no programa Word, um arquivo executável que é, na verdade, o ransomware é baixado no PC. Posteriormente, vários arquivos no PC da vítima são criptografados pelo ransomware, fornecendo-lhes nomes de combinação de 16 letras e dígitos .merda, .thor, .locky, .zepto ou .Odin extensões de arquivo. Todos os arquivos são criptografados usando o RSA-2048 e AES-1024 algoritmos e requerem uma chave privada armazenada nos servidores remotos controlados pelos cibercriminosos para descriptografia.
Uma vez que os arquivos são criptografados, Locky gera um adicional .TXT e _HELP_instructions.html arquivo em cada pasta contendo os arquivos criptografados. Este arquivo de texto contém uma mensagem (conforme mostrado abaixo) que informa os usuários da criptografia.
Locky Ransomware mudando de.wsf para extensão.LNK
Poste sua evolução este ano em fevereiro; As infecções por ransomware Locky diminuíram gradualmente com menores detecções de Nemucod, o que Locky usa para infectar computadores. (Nemucod é um arquivo.wsf contido em anexos.zip no email de spam). No entanto, como informa a Microsoft, os autores de Locky mudaram o anexo arquivos.wsf para arquivos de atalho (Extensão.LNK) que contém comandos do PowerShell para baixar e executar o Locky.
Um exemplo do e-mail de spam abaixo mostra que ele é feito para atrair a atenção imediata dos usuários. É enviado com alta importância e com caracteres aleatórios na linha de assunto. O corpo do email está vazio.
O email de spam normalmente é chamado de Bill com um anexo.zip, que contém os arquivos.LNK. Ao abrir o anexo.zip, os usuários acionam a cadeia de infecção. Esta ameaça é detectada como TrojanDownloader: PowerShell / Ploprolo.A. Quando o script do PowerShell é executado com êxito, ele faz o download e executa o Locky em uma pasta temporária que completa a cadeia de infecção.
Tipos de arquivos segmentados pelo Locky Ransomware
Abaixo estão os tipos de arquivos alvo do ransomware Locky.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Como evitar o ataque de Locky Ransomware
Locky é um vírus perigoso que possui uma grave ameaça para o seu PC. É recomendado que você siga estas instruções para impedir o ransomware e evitar ser infectado.
- Tenha sempre um software anti-malware e um software anti-ransomware que proteja o seu PC e o atualize regularmente.
- Atualize seu sistema operacional Windows e o restante do seu software para mitigar possíveis explorações de software.
- Faça backup de seus arquivos importantes regularmente. É uma boa opção tê-los salvos off-line do que em um armazenamento em nuvem, já que os vírus podem chegar lá também
- Desativar o carregamento de macros em programas do Office. Abrir um arquivo de documento infectado do Word pode ser arriscado!
- Não abra cegamente os e-mails nas seções de e-mail "Spam" ou "Junk". Isso poderia levá-lo a abrir um email contendo o malware. Pense antes de clicar em links da Web em websites ou e-mails ou fazer o download de anexos de e-mail de remetentes que você não conhece. Não clique ou abra esses anexos:
- Arquivos com a extensão.LNK
- Arquivos com extensão.wsf
- Arquivos com extensão de ponto duplo (por exemplo, profile-p29d..wsf).
Ler: O que fazer depois de um ataque Ransomware no seu computador Windows?
Como descriptografar o Locky Ransomware
A partir de agora, não há descodificadores disponíveis para o ransomware Locky. No entanto, um Decryptor do Emsisoft pode ser usado para descriptografar arquivos criptografados AutoLocky, outro ransomware que também renomeia arquivos para a extensão.locky. O AutoLocky usa a linguagem de script AutoI e tenta imitar o complexo e sofisticado ransomware Locky. Você pode ver a lista completa de ferramentas de descriptografia de ransomware disponíveis aqui.
Fontes e Créditos: Microsoft | BleepingComputer | PCRisk.
