Locky Ransomware mematikan! Inilah semua yang harus Anda ketahui tentang virus ini.

Locky adalah nama Ransomware yang telah berkembang akhir-akhir ini, berkat peningkatan algoritme yang konstan oleh pembuatnya. Locky, seperti yang disarankan oleh namanya, mengganti nama semua file penting pada PC yang terinfeksi memberi mereka ekstensi .terkunci dan meminta tebusan untuk kunci dekripsi.

Locky ransomware - Evolusi

Ransomware telah tumbuh pada tingkat yang mengkhawatirkan pada tahun 2016. Ini menggunakan Email & Rekayasa Sosial untuk memasuki sistem komputer Anda. Sebagian besar email dengan lampiran dokumen berbahaya menampilkan jenis ransomware populer Locky ransomware. Di antara miliaran pesan yang menggunakan lampiran dokumen berbahaya, sekitar 97% menampilkan ransomware Locky, yang merupakan peningkatan 64% yang mengkhawatirkan dari Q1 2016 ketika pertama kali ditemukan.

Itu Ransomware Locky pertama kali terdeteksi pada Februari 2016 dan dilaporkan dikirim ke setengah juta pengguna. Locky menjadi pusat perhatian ketika pada bulan Februari tahun ini Hollywood Presbyterian Medical Center membayar tebusan Bitcoin senilai $17.000 untuk kunci dekripsi data pasien. Locky menginfeksi data Rumah Sakit melalui lampiran email yang disamarkan sebagai faktur Microsoft Word.

Sejak Februari, Locky telah merantai ekstensinya dalam upaya untuk menipu korban bahwa mereka telah terinfeksi oleh Ransomware yang berbeda. Locky awalnya mulai mengganti nama file terenkripsi menjadi .terkunci dan pada saat musim panas tiba, ia berkembang menjadi into .zepto ekstensi, yang telah digunakan dalam beberapa kampanye sejak.

Terakhir terdengar, Locky sekarang mengenkripsi file dengan .ODIN ekstensi, mencoba membingungkan pengguna bahwa itu sebenarnya adalah ransomware Odin.

Locky Ransomware

Locky ransomware terutama menyebar melalui kampanye email spam yang dijalankan oleh penyerang. Email spam ini sebagian besar memiliki .file doc sebagai lampiran yang berisi teks acak yang tampak seperti makro.

Email biasa yang digunakan dalam distribusi ransomware Locky mungkin berupa faktur yang menarik perhatian sebagian besar pengguna, Misalnya,

Subjek email bisa - “ATTN: Faktur P-12345678”, lampiran yang terinfeksi - “invoice_P-12345678.dokter” (berisi Macro yang mengunduh dan menginstal ransomware Locky di komputer):”

Dan isi Email - “Yang terhormat, Silakan lihat faktur terlampir (Microsoft Word Document) dan kirimkan pembayaran sesuai dengan ketentuan yang tercantum di bagian bawah faktur. Beri tahu kami jika Anda memiliki pertanyaan. Kami sangat menghargai bisnis Anda!”

Setelah pengguna mengaktifkan pengaturan makro di program Word, file yang dapat dieksekusi yang sebenarnya adalah ransomware diunduh di PC. Setelah itu, berbagai file di PC korban dienkripsi oleh ransomware memberi mereka nama kombinasi 16 huruf - digit unik dengan .kotoran, .thor, .terkunci, .zepto atau .odin ekstensi file. Semua file dienkripsi menggunakan RSA-2048 dan AES-1024 algoritma dan memerlukan kunci pribadi yang disimpan di server jarak jauh yang dikendalikan oleh penjahat cyber untuk dekripsicrypt.

Setelah file dienkripsi, Locky menghasilkan tambahan .txt dan _HELP_instruksi.html file di setiap folder yang berisi file terenkripsi. File teks ini berisi pesan (seperti yang ditunjukkan di bawah) yang memberi tahu pengguna tentang enkripsi.

Lebih lanjut menyatakan bahwa file hanya dapat didekripsi menggunakan decrypter yang dikembangkan oleh penjahat cyber dan biaya .5 BitCoin. Oleh karena itu, untuk mendapatkan kembali file tersebut, korban diminta untuk menginstal browser Tor dan mengikuti tautan yang disediakan di file teks/wallpaper. Situs web berisi instruksi untuk melakukan pembayaran.

Tidak ada jaminan bahwa bahkan setelah melakukan pembayaran, file korban akan didekripsi. Tetapi biasanya untuk melindungi 'reputasinya' para pembuat ransomware biasanya tetap pada bagian mereka dari tawar-menawar.

Locky Ransomware berubah dari .wsf untuk .ekstensi LNK

Posting evolusinya tahun ini di bulan Februari; Infeksi ransomware Locky secara bertahap menurun dengan deteksi yang lebih rendah dari Nemukoda, yang digunakan Locky untuk menginfeksi komputer. (Nemucod adalah .file wsf yang terkandung dalam .zip lampiran di email spam). Namun, seperti yang dilaporkan Microsoft, penulis Locky telah mengubah lampiran dari .file wsf untuk file pintasan (.ekstensi LNK) yang berisi perintah PowerShell untuk mengunduh dan menjalankan Locky.

Contoh email spam di bawah ini menunjukkan bahwa itu dibuat untuk menarik perhatian langsung dari pengguna. Itu dikirim dengan sangat penting dan dengan karakter acak di baris subjek. Badan email kosong.

Email spam biasanya menyebut Bill tiba dengan with .lampiran zip, yang berisi .file LNK. Dalam membuka .lampiran zip, pengguna memicu rantai infeksi. Ancaman ini terdeteksi sebagai TrojanDownloader:PowerShell/Ploprolo.SEBUAH. Ketika skrip PowerShell berhasil dijalankan, skrip akan mengunduh dan menjalankan Locky di folder sementara yang menyelesaikan rantai infeksi.

Jenis file yang ditargetkan oleh Locky Ransomware

Di bawah ini adalah jenis file yang ditargetkan oleh Locky ransomware.

.yuv, .ycbcra, .xis, .wpd, .teks, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .tikus, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .lainnya, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .tidak, .nef, .dan, .myd, .mrw, .uang, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .termasuk, .iiq, .ibz, .ibank, .hbk, .abu-abu, .Abu-abu, .Abu-abu, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .drw, .dok, .dcs, .db_journal, .csl, .csh, .kru, .tembolok, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .teluk, .bank, .backupdb, .cadangan, .kembali, .awg, .apj, .ait, .agdl, .iklan, .adb, .akre, .ach, .accdt, .accdr, .akses, .vmxf, .vmsd, .vhdx, .vhd, .kotak v, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .catatan, .hpp, .hdd, .kelompok, .flvv, .edb, .dit, .dan, .cmt, .tempat sampah, .aiff, .xlk, .gumpalan, .tlg, .mengatakan, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .menepuk, .minyak, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .ind, .iif, .fpx, .ff, .fdb, .dtd, .rancangan, .ddd, .dcr, .dac, .cdx, .cdf, .Campur, .bkp, .adp, .bertindak, .xlr, .xlam, .xla, .wps, .tga, .gambar psp, .persen, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .panah, .aac, .thm, .srt, .menyimpan, .aman, .pwm, .halaman, .obj, .mlb, .mbx, .menyala, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .konfigurasi, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xl, .wab, .rtf, .prf, .ppt, .oab, .pesan, .mapimail, .jnt, .dokter, .dbx, .kontak, .pertengahan, .wma, .flv, .mkv, .pindah, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .video, .vmdk, .vmx, .dompet, .upk, .hemat, .ltx, .litesql, .sedikit, .lbf, .iwi, .menempa, .das, .d3dbsp, .bsa, .sepeda, .aset, .apk, .gpg, .aes, .BUSUR, .PAQ, .ter.bz2, .tbk, .bak, .ter, .tgz, .jarang, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .mentah, .cgm, .jpeg, .jpg, .tif, .bertengkar, .NEF, .psd, .cmd, .kelelawar, .kelas, .botol, .Jawa, .asp, .brd, .sch, .dch, .menukik, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .KU I, .MYD, .dari, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .berbaring6, .awam, .ms11 (salinan keamanan), .sldm, .sldx, .ppsm, .ppsx, .ppam, .dok, .mml, .sxm, .otg, .aneh, .up, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .minggu, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .berbeda, .stc, .sxc, .ots, .peluang, .hwp, .titik, .titik, .dok, .dok, .DOT, .maksimal, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOKTER, .pem, .csr, .crt, .ke.

Bagaimana mencegah serangan Locky Ransomware

Locky adalah virus berbahaya yang memiliki ancaman besar bagi PC Anda. Disarankan agar Anda mengikuti petunjuk ini untuk mencegah ransomware dan menghindari terinfeksi.

1. Selalu miliki perangkat lunak anti-malware dan perangkat lunak anti-ransomware yang melindungi PC Anda dan perbarui secara teratur.
2. Perbarui OS Windows Anda dan perangkat lunak lainnya yang terbaru untuk mengurangi kemungkinan eksploitasi perangkat lunak.
3. Cadangkan file penting Anda secara teratur. Ini adalah pilihan yang baik untuk menyimpannya secara offline daripada di penyimpanan cloud karena virus juga dapat mencapai sana
4. Nonaktifkan pemuatan Makro di program Office. Membuka file dokumen Word yang terinfeksi terbukti berisiko!
5. Jangan membuka email secara membabi buta di bagian email 'Spam' atau 'Sampah'. Ini bisa menipu Anda untuk membuka email yang berisi malware. Pikirkan sebelum mengklik tautan web di situs web atau email atau mengunduh lampiran email dari pengirim yang tidak Anda kenal. Jangan klik atau buka lampiran tersebut:

1. File dengan .ekstensi LNK
2. File dengan.ekstensi wsf
3. File dengan ekstensi titik ganda (misalnya, profile-p29d… wsf).

Baca baca: Apa yang harus dilakukan setelah serangan Ransomware di komputer Windows Anda?

Cara mendekripsi Locky Ransomware

Sampai sekarang, tidak ada decrypter yang tersedia untuk Locky ransomware. Namun, Decryptor dari Emsisoft dapat digunakan untuk mendekripsi file yang dienkripsi oleh kunci otomatis, ransomware lain yang juga mengubah nama file menjadi .ekstensi terkunci. AutoLocky menggunakan bahasa skrip AutoI dan mencoba meniru ransomware Locky yang kompleks dan canggih. Anda dapat melihat daftar lengkap alat dekripsi ransomware yang tersedia di sini.

Sumber & Kredit: Microsoft | BleepingComputer | PCRRisk.