Locky Ransomware é mortal! Aqui está tudo o que você deve saber sobre este vírus.

Locky é o nome de um Ransomware que tem evoluído tarde, graças à constante atualização do algoritmo de seus autores. Locky, como sugerido por seu nome, renomeia todos os arquivos importantes no PC infectado, dando-lhes uma extensão .bloqueado e exige resgate pelas chaves de descriptografia.

Ransomware Locky - Evolução

O ransomware cresceu a uma taxa alarmante em 2016. Ele usa e-mail e engenharia social para entrar em seus sistemas de computador. A maioria dos e-mails com documentos maliciosos anexados apresentava o popular tipo de ransomware Locky. Entre os bilhões de mensagens que usaram anexos de documentos maliciosos, cerca de 97% apresentavam ransomware Locky, que é um aumento alarmante de 64% em relação ao primeiro trimestre de 2016, quando foi descoberto pela primeira vez.

O Ransomware Locky foi detectado pela primeira vez em fevereiro de 2016 e teria sido enviado a meio milhão de usuários. Locky ganhou destaque quando, em fevereiro deste ano, o Hollywood Presbyterian Medical Center pagou um resgate de US $ 17.000 em Bitcoin pela chave de descriptografia para dados de pacientes. Locky infectou os dados do hospital por meio de um anexo de e-mail disfarçado como uma fatura do Microsoft Word.

Desde fevereiro, o Locky tem encadeado suas extensões em uma tentativa de enganar as vítimas que foram infectadas por um ransomware diferente. Locky começou originalmente renomeando os arquivos criptografados para .bloqueado e quando o verão chegou, ele evoluiu para o .zepto extensão, que tem sido usada em várias campanhas desde.

Ouvido pela última vez, Locky agora está criptografando arquivos com .ODIN extensão, tentando confundir os usuários que é realmente o ransomware Odin.

Locky Ransomware

O ransomware Locky se espalha principalmente por meio de campanhas de e-mail de spam executadas pelos invasores. Esses e-mails de spam têm principalmente .arquivos doc como anexos que contêm texto embaralhado que parece ser macros.

Um e-mail típico usado na distribuição de ransomware Locky pode ser de uma fatura que chama a atenção da maioria do usuário, por exemplo,

O assunto do email pode ser - “ATTN: Fatura P-12345678”, anexo infectado - “fatura_P-12345678.doc”(Contém macros que baixam e instalam ransomware Locky em computadores):”

E o corpo do e-mail - “Prezado (a), consulte a fatura em anexo (documento do Microsoft Word) e efetue o pagamento de acordo com os termos listados na parte inferior da fatura. Deixe-nos saber se você tiver alguma dúvida. Nós apreciamos muito seu negócio!”

Depois que o usuário habilita as configurações de macro no programa Word, um arquivo executável, que na verdade é o ransomware, é baixado no PC. Depois disso, vários arquivos no PC da vítima são criptografados pelo ransomware, dando-lhes nomes de combinação de 16 letras - dígitos exclusivos com .merda, .Thor, .bloqueado, .zepto ou .Odin extensões de arquivo. Todos os arquivos são criptografados usando o RSA-2048 e AES-1024 algoritmos e exigem uma chave privada armazenada nos servidores remotos controlados pelos criminosos cibernéticos para descriptografia.

Uma vez que os arquivos são criptografados, Locky gera um adicional .TXT e _HELP_instructions.html arquivo em cada pasta que contém os arquivos criptografados. Este arquivo de texto contém uma mensagem (conforme mostrado abaixo) que informa aos usuários sobre a criptografia.

Afirma ainda que os arquivos só podem ser descriptografados usando um descriptografador desenvolvido por criminosos cibernéticos e com custo .5 BitCoin. Portanto, para obter os arquivos de volta, a vítima é solicitada a instalar o navegador Tor e seguir um link fornecido nos arquivos de texto / papel de parede. O site contém instruções para fazer o pagamento.

Não há garantia de que mesmo depois de fazer o pagamento os arquivos da vítima serão descriptografados. Mas, geralmente, para proteger sua "reputação", os autores de ransomware costumam cumprir sua parte do acordo.

Locky Ransomware mudando de .wsf para .Extensão LNK

Poste sua evolução este ano em fevereiro; As infecções de ransomware Locky diminuíram gradualmente com menos detecções de Nemucod, que Locky usa para infectar computadores. (Nemucod é um .arquivo wsf contido em .compactar anexos em e-mail de spam). No entanto, como relata a Microsoft, os autores de Locky alteraram o anexo de .arquivos wsf para arquivos de atalho (.Extensão LNK) que contém comandos do PowerShell para baixar e executar o Locky.

Um exemplo de e-mail de spam abaixo mostra que ele é feito para atrair a atenção imediata dos usuários. É enviado com grande importância e com caracteres aleatórios na linha do assunto. O corpo do e-mail está vazio.

O e-mail de spam normalmente é denominado como Bill chega com um .anexo zip, que contém o .Arquivos LNK. Ao abrir o .anexo zip, os usuários acionam a cadeia de infecção. Esta ameaça foi detectada como TrojanDownloader: PowerShell / Ploprolo.UMA. Quando o script do PowerShell é executado com êxito, ele baixa e executa o Locky em uma pasta temporária, completando a cadeia de infecção.

Tipos de arquivos visados ​​pelo Locky Ransomware

Abaixo estão os tipos de arquivos visados ​​pelo ransomware Locky.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rato, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .outro, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .meu D, .mrw, .Moneywell, .meu, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .cinza, .cinzento, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .papo, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .Baía, .Banco, .backupdb, .cópia de segurança, .voltar, .awg, .apj, .ait, .agdl, .Publicidades, .adb, .acr, .ach, .conta, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .PDB, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .registro, .hpp, .disco rígido, .grupos, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .maço, .tlg, .dizer, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .tapinha, .óleo, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .se, .fpx, .fff, .fdb, .dtd, .Projeto, .ddd, .dcr, .dac, .cdx, .cdf, .mistura, .bkp, .adp, .agir, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .ponto, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .Salve , .seguro, .pwm, .Páginas, .obj, .mlb, .mbx, .aceso, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .Aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contato, .meio, .wma, .flv, .mkv, .mov, .avi, .asf, .MPEG, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .carteira, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forja, .das, .d3dbsp, .bsa, .motociclista, .de ativos, .apk, .gpg, .aes, .ARCO, .PAQ, .alcatrão.bz2, .tbk, .Bak, .alcatrão, .tgz, .rar, .fecho eclair, .djv, .djvu, .SVG, .bmp, .png, .gif, .cru, .cgm, .JPEG, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bastão, .aula, .jarra, .Java, .asp, .brd, .sch, .dch, .mergulhar, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MEU D, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .PST, .onetoc2, .asc, .lay6, .colocar, .ms11 (cópia de segurança), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .Panela, .pps, .sti, .sxi, .otp, .odp, .semanas, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .PONTO, .max, .xml, .TXT, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.

Como prevenir o ataque do Locky Ransomware

Locky é um vírus perigoso que possui uma grave ameaça para o seu PC. É recomendado que você siga estas instruções para prevenir ransomware e evitar ser infectado.

1. Tenha sempre um software anti-malware e um software anti-ransomware protegendo seu PC e atualize-o regularmente.
2. Atualize seu sistema operacional Windows e o resto de seu software atualizado para mitigar possíveis explorações de software.
3. Faça backup de seus arquivos importantes regularmente. É uma boa opção salvá-los offline do que em um armazenamento em nuvem, pois o vírus também pode chegar lá
4. Desative o carregamento de macros em programas do Office. Abrir um arquivo de documento do Word infectado pode ser arriscado!
5. Não abra cegamente o e-mail nas seções 'Spam' ou 'Lixo' de e-mail. Isso pode induzir você a abrir um e-mail contendo o malware. Pense antes de clicar em links da web em sites ou e-mails ou baixar anexos de e-mail de remetentes que você não conhece. Não clique ou abra esses anexos:

1. Arquivos com .Extensão LNK
2. Arquivos com.extensão wsf
3. Arquivos com extensão de ponto duplo (por exemplo, profile-p29d ... wsf).

Leitura: O que fazer após um ataque de Ransomware em seu computador Windows?

Como descriptografar o Locky Ransomware

No momento, não há descriptografadores disponíveis para o ransomware Locky. No entanto, um descriptografador da Emsisoft pode ser usado para descriptografar arquivos criptografados por AutoLocky, outro ransomware que também renomeia arquivos para o .extensão bloqueada. AutoLocky usa a linguagem de script AutoI e tenta imitar o complexo e sofisticado ransomware Locky. Você pode ver a lista completa de ferramentas de descriptografia de ransomware disponíveis aqui.

Fontes e créditos: Microsoft | BleepingComputer | PCRisk.