Locky Ransomware ist tödlich! Hier ist alles, was Sie über diesen Virus wissen sollten.

Locky ist der Name einer Ransomware, die sich dank des konstanten Algorithmus-Upgrades in letzter Zeit weiterentwickelt hat von seinen Autoren. Locky, wie sein Name andeutet, benennt alle wichtigen Dateien auf dem infizierten PC mit der Endung.locky um und fordert Lösegeld für die Entschlüsselungsschlüssel.

Locky Ransomware - Evolution

Ransomware ist gewachsen in einem alarmierenden Tempo im Jahr 2016. Es nutzt E-Mail & Social Engineering, um Ihre Computersysteme zu betreten. Die meisten E-Mails mit schädlichen Dokumenten enthielten die beliebte Ransomware-Sorte Locky. Unter den Milliarden von Nachrichten, die bösartige Dokumentanhänge verwendeten, verfügten rund 97% über Locky-Ransomware, eine alarmierende Steigerung von 64% gegenüber dem ersten Quartal 2016.

Die Locky-Ransomware wurde erstmals in entdeckt Februar 2016 und wurde Berichten zufolge an eine halbe Million Benutzer gesendet. Locky geriet ins Rampenlicht, als das Hollywood Presbyterian Medical Center im Februar dieses Jahres ein Bitcoin-Lösegeld in Höhe von 17.000 Dollar für den Entschlüsselungsschlüssel für Patientendaten bezahlte. Locky infizierte die Daten des Krankenhauses über einen als Microsoft Word-Rechnung getarnten E-Mail-Anhang.

Seit Februar kettet Locky seine Erweiterungen, um die Opfer zu täuschen, dass sie von einer anderen Ransomware infiziert wurden. Locky begann ursprünglich, die verschlüsselten Dateien in .locky umzubenennen und entwickelte sich im Sommer zu der .zept Erweiterung, die seither in mehreren Kampagnen verwendet wurde.

Zuletzt gehört, Locky verschlüsselt nun Dateien mit der Erweiterung .ODIN und versucht damit die Benutzer zu verwirren, dass es sich tatsächlich um Odins Ransomware handelt.

Locky Ransomware

Locky Ransomware verbreitet sich hauptsächlich über Spam-E-Mails der Angreifer. Diese Spam-E-Mails enthalten meist .doc-Dateien als Anhänge , die verschlüsselten Text enthalten, der als Makros erscheint.

Eine typische E-Mail-Nachricht in Locky-Ransomware-Verteilung kann eine Rechnung sein, die die meisten Nutzer auf sich aufmerksam macht.

E-Mail-Betreff könnte sein - "ATTN: Invoice P-12345678", infizierter Anhang - " invoice_P-12345678.doc " (enthält Macros, die Locky Ransomware auf Computern herunterladen und installieren): "

und E-Mail-Nachricht -" Sehr geehrte / r Frau, Bitte beachten Sie die beigefügte Rechnung (Microsoft Word-Dokument) und überweisen Sie die Zahlung gemäß den unten aufgeführten Bedingungen. Lassen Sie uns wissen, wenn Sie Fragen haben. Wir schätzen Ihr Geschäft sehr! "

Sobald der Benutzer die Makroeinstellungen im Word-Programm aktiviert hat, wird eine ausführbare Datei, die eigentlich die Ransomware ist, auf den PC heruntergeladen. Danach werden verschiedene Dateien auf dem PC des Opfers durch die Ransomware verschlüsselt, die ihnen eindeutige 16-stellige Kombinationsnamen mit .shit , .thor , .locky , .zip oder .odin Dateierweiterungen. Alle Dateien werden mit den Algorithmen RSA-2048 und AES-1024 verschlüsselt und benötigen einen privaten Schlüssel, der auf den von Cyberkriminellen kontrollierten Remote-Servern zur Entschlüsselung gespeichert ist Sind sie verschlüsselt, erzeugt Locky in jedem Ordner, der die verschlüsselten Dateien enthält, eine zusätzliche Datei

.txt und _HELP_instructions.html . Diese Textdatei enthält eine Nachricht (wie unten gezeigt), die den Benutzer über die Verschlüsselung informiert. Weiterhin wird angegeben, dass Dateien nur mit einem Entschlüsseler entschlüsselt werden können, der von Cyberkriminellen entwickelt wurde und 0,5 BitCoin kostet. Um die Dateien zurück zu erhalten, wird das Opfer aufgefordert, den Tor-Browser zu installieren und einem Link in den Textdateien / Hintergrundbildern zu folgen. Die Website enthält Anweisungen zur Zahlung.

Es gibt keine Garantie dafür, dass auch nach der Bezahlung die Opferdateien entschlüsselt werden. Um ihren "guten Ruf" zu schützen, halten sich die Ersteller von Ransomware jedoch gewöhnlich an ihren Teil der Vereinbarung.

Locky Ransomware wechselt von.wsf zu.LNK-Erweiterung

Veröffentlichen Sie die Entwicklung dieses Jahr im Februar; Locky-Ransomware-Infektionen haben mit weniger Erkennungen von

Nemucod , die Locky verwendet, um Computer zu infizieren, allmählich abgenommen. (Nemucod ist eine.wsf-Datei, die in.zip-Anhängen in Spam-E-Mails enthalten ist). Wie Microsoft berichtet, haben Locky-Autoren den Anhang von .wsf-Dateien in Verknüpfungsdateien (Erweiterung.LNK) geändert, die PowerShell-Befehle zum Herunterladen und Ausführen von Locky enthalten. An Ein Beispiel für die folgende Spam-E-Mail zeigt, dass sie dazu dient, die Aufmerksamkeit der Nutzer sofort auf sich zu ziehen. Es wird mit hoher Wichtigkeit und mit zufälligen Zeichen in der Betreffzeile gesendet. Der Textkörper der E-Mail ist leer.

Die Spam-E-Mail-Adresse wird in der Regel benannt, wenn Bill mit einem.zip-Anhang eintrifft, der die.LNK-Dateien enthält. Beim Öffnen des.zip-Anhangs lösen Benutzer die Infektionskette aus. Diese Bedrohung wird als

TrojanDownloader: PowerShell / Ploprolo.A erkannt. Wenn das PowerShell-Skript erfolgreich ausgeführt wird, lädt es Locky herunter und führt es in einem temporären Ordner aus, der die Infektionskette vervollständigt. Dateitypen, auf die Locky Ransomware abzielt

Nachfolgend sind die von Locky-Ransomware betroffenen Dateitypen aufgeführt. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grau,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.df,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acc,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q Kuh,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,. accdb,.7zip,.xls,.wab, ​​.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.schmiede,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (Sicherheitskopie),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xl, xlm, xlc, dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Vorgehensweise Locky Ransomware-Angriff verhindern

Locky ist ein gefährlicher Virus, der eine schwerwiegende Bedrohung für Ihren PC darstellt. Es wird empfohlen, dass Sie diese Anweisungen befolgen, um Ransomware zu verhindern und eine Infektion zu vermeiden.

Halten Sie immer eine Anti-Malware- und Anti-Ransomware-Software bereit, die Ihren PC schützt und regelmäßig aktualisiert.

Aktualisieren Sie Ihr Windows-Betriebssystem und den Rest Ihrer Software auf dem neuesten Stand, um mögliche Software-Exploits zu minimieren.

1. Sichern Sie regelmäßig Ihre wichtigen Dateien. Es ist eine gute Option, sie offline speichern zu lassen, als in einem Cloud-Speicher, da der Virus auch dorthin gelangen kann.
2. Deaktivieren Sie das Laden von Makros in Office-Programmen. Das Öffnen einer infizierten Word-Dokumentdatei könnte sich als riskant erweisen!
3. Öffnen Sie keine E-Mails in den E-Mail-Bereichen "Spam" oder "Junk". Dies könnte Sie dazu bringen, eine E-Mail mit der Malware zu öffnen. Denken Sie daran, bevor Sie auf Weblinks auf Websites oder E-Mails klicken oder E-Mail-Anhänge von Absendern herunterladen, die Sie nicht kennen. Klicken oder öffnen Sie keine Anhänge:
4. Dateien mit der Erweiterung.LNK
5. Dateien mit der Erweiterung.wsf
1. Dateien mit doppelter Punktverlängerung (z. B. profile-p29d … wsf).
2. Lesen Sie
3. : Was ist nach einem Ransomware-Angriff auf Ihrem Windows-Computer zu tun?

So entschlüsseln Sie Locky Ransomware Ab sofort sind für Locky Ransomware keine Entschlüsselungsfunktionen verfügbar. Ein Decryptor von Emsisoft kann jedoch zum Entschlüsseln von Dateien verwendet werden, die mit

AutoLocky

verschlüsselt wurden, einer anderen Ransomware, die auch Dateien in die Erweiterung.locky umbenennt. AutoLocky verwendet die Skriptsprache AutoI und versucht, die komplexe und hochentwickelte Locky Ransomware nachzuahmen. Sie können die vollständige Liste der verfügbaren Tools zum Entschlüsseln von Ransomware hier sehen. Quellen & Credits : Microsoft | PiependesComputer | PCRisk.