Лоцки Рансомваре је смртоносан! Овде је све што бисте требали знати о овом вирусу.

Лоцки име је Рансомваре-а који се касно развијао захваљујући сталној надоградњи алгоритама његових аутора. Лоцки, како сугерише његово име, преименује све важне датотеке на зараженом рачунару дајући им екстензију .лаки и захтева откупнину за кључеве за дешифровање.

Лоцки рансомваре - Еволуција

Рансомваре је порастао алармантном брзином у 2016. години. Користи е-пошту и социјални инжењеринг за улазак у ваше рачунарске системе. Већина е-адреса са приложеним злонамерним документима садржи популарни сој рансомваре Лоцки. Међу милијардама порука које су користиле злонамерне прилоге докумената, око 97% је имало Лоцки рансомваре, што је алармантно повећање од 64% у односу на К1 2016 када је први пут откривен.

Тхе Лоцки рансомваре је први пут откривен у фебруару 2016. године и наводно је послат пола милиона корисника. Лоцки је дошао у жижу када је у фебруару ове године холивудски презбитеријански медицински центар платио 17.000 УСД Битцоин откупнину за кључ за дешифровање података о пацијентима. Подаци болнице Лоцки заражени путем прилога е-поште маскираног у Мицрософт Ворд фактуру.

Од фебруара, Лоцки ланцује своје продужетке у покушају да превари жртве да су заражене другим Рансомвареом. Лоцки је започео првобитно преименовање шифрованих датотека у .лаки а до доласка лета еволуирало је у .зепто додатак, који се од тада користи у више кампања.

Последњи пут чуо, Лоцки сада шифрује датотеке помоћу .ОДИН додатак, покушавајући да збуни кориснике да је то заправо Один рансомваре.

Лоцки Рансомваре

Лоцки рансомваре се углавном шири путем кампања нежељених порука које воде нападачи. Ови нежељени имејлови углавном имају .доц датотеке као прилози који садрже кодирани текст који изгледа као макронаредбе.

Типична е-пошта која се користи у дистрибуцији рансомваре програма Лоцки може бити фактура која привлачи пажњу већине корисника, на пример,

Предмет е-поште могао би бити - „АТТН: Рачун П-12345678“, заражена приврженост - “фактура_П-12345678.доц”(Садржи макронаредбе које преузимају и инсталирају Лоцки рансомваре на рачунаре):“

И тело е-поште - „Поштовани, погледајте приложену фактуру (Мицрософт Ворд Доцумент) и извршите уплату у складу са условима наведеним на дну рачуна. Јавите нам ако имате питања. Веома ценимо ваше пословање!”

Једном када корисник омогући поставке макроа у програму Ворд, извршна датотека која је заправо рансомваре се преузима на рачунар. Након тога, разне датотеке на жртвином рачунару шифрују се од стране рансомваре-а дајући им јединствена 16-цифрена имена комбинација са .срање, .тхор, .лаки, .зепто или .один екстензије датотека. Све датотеке су шифроване помоћу РСА-2048 и АЕС-1024 алгоритми и захтевају приватни кључ ускладиштен на удаљеним серверима који контролишу сајбер криминалци за дешифровање.

Једном када су датотеке шифроване, Лоцки генерише додатни .ткт и _ХЕЛП_инструцтионс.хтмл датотека у свакој фасцикли која садржи шифроване датотеке. Ова текстуална датотека садржи поруку (као што је приказано доле) која обавештава кориснике о шифровању.

Даље се наводи да се датотеке могу дешифровати само помоћу дешифрера који су развили сајбер криминалци и који кошта .5 БитЦоин. Стога, да би вратили датотеке, жртва се тражи да инсталира прегледач Тор и прати везу наведену у текстуалним датотекама / позадини. Веб локација садржи упутства за плаћање.

Не постоји гаранција да ће се чак и након извршења плаћања датотеке жртве дешифровати. Али обично да би заштитили своју „репутацију“ аутори рансомваре програма обично се придржавају свог дела договора.

Лоцки Рансомваре се мења из .всф то .ЛНК продужетак

Објавите његову еволуцију ове године у фебруару; Лоцки рансомваре инфекције су се постепено смањивали са мањим бројем откривања Немуцод, коју Лоцки користи за заразу рачунара. (Немуцод је .всф датотека садржана у .зип прилози у нежељеној пошти). Међутим, како извештава Мицрософт, Лоцки аутори су променили прилог из .всф датотеке до пречица (.ЛНК екстензија) који садрже ПоверСхелл наредбе за преузимање и покретање Лоцки.

Пример спам е-поште у наставку показује да је направљен како би привукао тренутну пажњу корисника. Шаље се са великом важношћу и са случајним знаковима у линији предмета. Тело е-поште је празно.

Нежељени имејл се обично именује како Билл стиже са .зип прилог који садржи .ЛНК датотеке. У отварању .зип, корисници покрећу ланац заразе. Ова претња је откривена као ТројанДовнлоадер: ПоверСхелл / Плопроло.А. Када се ПоверСхелл скрипта успешно покрене, преузима и извршава Лоцки у привременој фасцикли која довршава ланац заразе.

Типови датотека које циља Лоцки Рансомваре

Испод су типови датотека које циља Лоцки рансомваре.

.иув, .ицбцра, .кис, .впд, .тек, .скг, .стк, .срв, .срф, .склитедб, .склите3, .склите, .сдф, .сда, .с3дб, .рвз, .рвл, .рдб, .пацов, .раф, .кби, .кбк, .кбв, .кбр, .кба, .псафе3, .плц, .плус_мухд, .пдд, .отх, .орф, .одм, .одф, .ниф, .нкл, .нвб, .нрв, .ноп, .неф, .ндд, .мој Д, .мрв, .монеивелл, .мни, .ммв, .мфв, .меф, .мдц, .луа, .кпдк, .кдц, .кдбк, .јпе, .инцпас, .иик, .ибз, .ибанк, .хбк, .гри, .сива, .сива, .фхд, .ффд, .екф, .ерф, .ербскл, .емл, .дкг, .дрф, .днг, .дгц, .дес, .дер, .ддрв, .ддоц, .дцс, .дб_јоурнал, .цсл, .цсх, .црв, .пузати, .циб, .цдрв, .цдр6, .цдр5, .цдр4, .цдр3, .бпв, .бгт, .бдб, .залив, .банка, .бацкупдб, .резервна копија, .назад, .авг, .апј, .аит, .агдл, .огласи, .адб, .акр, .ацх, .аццдт, .према, .аццде, .вмкф, .вмсд, .вхдк, .вхд, .вбок, .стм, .рвт, .кцов, .кед, .пиф, .пдб, .паб, .ост, .огг, .нврам, .ндф, .м2тс, .Пријава, .хпп, .хдд, .групе, .флвв, .едб, .дит, .дат, .цмт, .канта за смеће, .аифф, .клк, .вата, .тлг, .рецимо, .сас7бдат, .кбм, .кбб, .птк, .пфк, .пеф, .пат, .уље, .одц, .нсх, .нсг, .нсф, .нсд, .мос, .индд, .ииф, .фпк, .ффф, .фдб, .дтд, .дизајн, .ддд, .дцр, .дац, .цдк, .цдф, .мешавина, .бкп, .адп, .деловати, .клр, .клам, .кла, .впс, .тга, .пспимаге, .пцт, .пцд, .фкг, .флац, .епс, .дкб, .дрв, .тачка, .цпи, .цлс, .цдр, .арв, .аац, .тхм, .срт, .сачувати, .сигурно, .пвм, .странице, .обј, .млб, .мбк, .осветљен, .лаццдб, .квм, .идк, .хтмл, .флф, .дкф, .двг, .ддс, .цсв, .цсс, .цонфиг, .цфг, .цер, .аск, .аспк, .аои, .аццдб, .7зип, .клс, .ваб, .ртф, .прф, .ппт, .оаб, .мсг, .мапимаил, .јнт, .доц, .дбк, .контакт, .сред, .вма, .флв, .мкв, .мов, .ави, .асф, .мпег, .воб, .мпг, .вмв, .фла, .свф, .вав, .кцов2, .вди, .вмдк, .вмк, .новчаник, .упк, .сав, .лтк, .литескл, .литемод, .лбф, .иви, .ковати, .дас, .д3дбсп, .бса, .бик, .имовина, .апк, .гпг, .аес, .АРЦ, .ПАК, .катран.бз2, .тбк, .бак, .катран, .тгз, .рар, .зип, .дјв, .дјву, .свг, .бмп, .пнг, .гиф, .сиров, .цгм, .јпег, .јпг, .тиф, .тифф, .НЕФ, .псд, .цмд, .шишмиш, .класа, .тегла, .јава, .асп, .брд, .сцх, .дцх, .дип, .вбс, .асм, .пас, .цпп, .пхп, .лдф, .мдф, .ибд, .И МОЈА, .МОЈ Д, .фрм, .одб, .дбф, .мдб, .скл, .СКЛИТЕДБ, .СКЛИТЕ3, .пст, .онетоц2, .узлазно, .лаи6, .лежао, .мс11 (безбедносна копија), .слдм, .слдк, .ппсм, .ппск, .ппам, .доцб, .ммл, .скм, .отг, .одг, .уоп, .потк, .потм, .пптк, .пптм, .стд, .скд, .лонац, .ппс, .сти, .ски, .отп, .одп, .недеља, .клтк, .клтм, .клск, .клсм, .клсб, .слк, .клв, .клт, .клм, .клц, .диф, .стц, .скц, .отс, .одс, .хвп, .дотм, .дотк, .доцм, .доцк, .ТАЧКА, .макс, .кмл, .ткт, .ЦСВ, .уот, .РТФ, .пдф, .КСЛС, .ППТ, .ств, .скв, .отт, .одт, .ДОЦ, .пем, .цср, .црт, .ке.

Како спречити напад Лоцки Рансомваре

Лоцки је опасан вирус који представља озбиљну претњу за ваш рачунар. Препоручује се да следите ова упутства да бисте спречили рансомваре и избегли заразу.

1. Увек имајте софтвер против малвера и софтвер против рансомвера који штите ваш рачунар и редовно га ажурирајте.
2. Ажурирајте свој Виндовс ОС и остатак софтвера ажурно да бисте ублажили могуће експлоатације софтвера.
3. Редовно правите резервне копије важних датотека. Добра је опција да их сачувате ван мреже него у складишту у облаку, јер и вирус тамо може доћи
4. Онемогућите учитавање макронаредби у Оффице програмима. Отварање заражене датотеке Ворд документа могло би се показати ризичним!
5. Не отварајте слепо пошту у одељцима „Нежељена пошта“ или „Нежељена пошта“. То би вас могло преварити да отворите е-пошту која садржи злонамерни софтвер. Размислите пре него што кликнете на веб везе на веб локацијама или у е-порукама или преузмете прилоге е-поште од пошиљалаца које не познајете. Не кликните и не отварајте такве прилоге:

1. Датотеке са .ЛНК продужетак
2. Датотеке са.всф екстензија
3. Датотеке са наставком са двоструком тачком (на пример, профиле-п29д… всф).

читати: Шта урадити након напада Рансомваре-а на ваш Виндовс рачунар?

Како дешифровати Лоцки Рансомваре

За сада нема доступних дешифрера за Лоцки рансомваре. Међутим, Децриптор из Емсисофта се може користити за дешифровање датотека шифрованих помоћу АутоЛоцки, још један рансомваре који такође преименује датотеке у .лоцки ектенсион. АутоЛоцки користи скриптни језик АутоИ и покушава да опонаша сложени и софистицирани Лоцки рансомваре. Комплетну листу доступних рансомваре алата за дешифровање можете видети овде.

Извори и кредити: Мицрософт | БлеепингЦомпутер | ПЦРиск.