目次:
Locky は、アルゴリズムのアップグレードが絶え間なく進化してきたRansomwareの名前です。その著者によって。 Lockyは、その名前で示唆されているように、感染したPC上のすべての重要なファイルの名前を変更して、拡張子.locky を与え、解読鍵の身代金を要求します。
Locky ranhesware - Evolution
それは電子メールと社会工学を使用してコンピュータシステムに入ります。悪意ある文書が添付されたほとんどの電子メールには、人気のあるransomwareのLockyという特徴がありました。何百万という悪質な文書添付ファイルを使用したメッセージのうち、およそ97%がLockyランサムウェアを特色としています。これは、最初に発見された2016年第1四半期から64%の驚異的な増加です。
2016年2月、50万人のユーザーに送信されたと伝えられています。今年2月、Hollywood Presbyterian Medical Centerが患者データ用の解読鍵として17,000ドルのBitcoinの身代金を支払ったとき、Lockyは脚光を浴びました。 LockyはMicrosoft Wordの請求書に偽装された電子メールの添付ファイルで病院のデータを感染させた。 Lockyは2月以来、別のRansomwareに感染した犠牲者を欺くために、 Lockyはもともと暗号化されたファイルの名前を.locky
に変更し始め、夏になると 拡張子 に拡張され、以来複数のキャンペーンで使用されています。Locky Ransomware
Lockyランサムウェアは、主に攻撃者が実行するスパムメールキャンペーンを介して広がります。 Locky Ransomware Lockyランサムウェアは、主に
.ODIN
拡張子を持つファイルを暗号化しています。これらのスパム電子メールは、ほとんどが .docファイルを添付ファイル として持っていて、マクロとして見えるスクランブルされたテキストを含んでいます。
Lockyランサムウェア配布で使用される典型的な電子メールは、
電子メールの件名が「ATTN:請求書P-12345678」 、感染添付ファイル「 invoice_P-12345678.doc 」(コンピュータにLockyランサムウェアをダウンロードしてインストールするマクロ): " メール本文 - "親愛なる人は添付書類(Microsoft Word文書)を見て、請求書の下部に記載されている条項に従って支払いを送ってください。ご不明な点がありましたらお知らせください。私たちはあなたのビジネスに非常に感謝しています! "
ユーザーがWordプログラムでマクロ設定を有効にすると、実際にはトランスクリプトである実行可能ファイルがPCにダウンロードされます。その後、被害者のPC上のさまざまなファイルが、
.thor 、.locky 、または または のファイル拡張子を含む。すべてのファイルは RSA-2048 アルゴリズムと AES-1024 アルゴリズムを使用して暗号化され、暗号化のためにサイバー犯罪者によって制御されるリモートサーバに秘密鍵が格納されている必要があります。 Lockyは暗号化されたファイルを含む各フォルダに追加の .txt および _HELP_instructions.html ファイルを生成します。このテキストファイルには、ユーザーに暗号化を知らせるメッセージ(以下に示す)が含まれています。
さらに、サイバー犯罪者によって開発されたDecrypterを使用してファイルを復号化することができます。したがって、ファイルを元に戻すには、犠牲者がTorブラウザをインストールし、テキストファイル/壁紙に用意されているリンクに従うように求められます。このウェブサイトには、支払いを行うための指示が含まれています。 支払い後も犠牲者ファイルが解読されるという保証はありません。しかし、通常、その評判を守るために、ransomwareの作者は通常、交渉の一部に固執します。 Locky Ransomwareが.wsfから.LNK拡張子に変わる 今年2月に進化を発表。 Lockyは、コンピュータを感染させるためにLockyが使用する Nemucod
の検出数が少なくなるにつれて、徐々に減少しています。 (Nemucodは、スパムメールの.zip添付ファイルに含まれる.wsfファイルです)。しかし、Microsoftが報告するように、Lockyの作者はLockyをダウンロードして実行するPowerShellコマンドを含む
.wsfファイル
から
ショートカットファイル (LNK拡張)に添付ファイルを変更しました。以下の迷惑メールの例は、ユーザーからの注意を引き付けるように作られていることを示しています。これは重要度が高く、件名にランダムな文字で送信されます。電子メールの本文は空です。迷惑メールは通常、Billが.LNKファイルを含む.zip添付ファイルで到着すると名前を付けます。.zip添付ファイルを開くと、ユーザーは感染チェーンを起動します。この脅威は、 TrojanDownloader:PowerShell / Ploprolo.A として検出されます。 PowerShellスクリプトが正常に実行されると、一時的なフォルダにLockyがダウンロードされ、実行されます。 Locky Ransomwareが対象とするファイルタイプ 以下は、Lockyランサムウェアがターゲットとするファイルタイプです。.sdb、.sww、.srf、.sqliteb、.sqlite3、.sqlite、.sdf、.sda、.s3db、.rwz、.rwl、.rdb、.rat、.raf、.qby、.qbx、.qb、.qbr、.qba、.psafe3、.plc、.plus_muhd、.pdd、.oth、.orf、.odm、.odf、.nyf、.nxl 、.nwb、.nrw、.nop、.nef、.ndd、.myd、.mrw、.moneywell、.mny、.mmw、.mfw、.mef、.mdc、.lua、.kpdx、.kdc、。 kdbx、.jpe、.incpas、.iiq、.ibz、.ibank、.hbk、.gry、.grey、.gray、.fhd、.ffd、.exf、.erf、.erbsql、.eml、.dxg、.drf、.dng、.dgc、.des、.der、.ddrw、.ddoc、.dcs、.db_journal、.csl、.csh、.crw、.craw、.cib、.cdrw、.cdr6、.cdr5 、.cdr4、.cdr3、.bpw、.bgt、.bdb、.bay、.bank、.backdb、.back、.back、.awg、.apj、.ait、.agdl、.ads、.adb、。 acr、.ach、.accdt、.accdr、.accde、.vmxf、.vmsd、.vhdx、.vhd、.vbox、.stm、.rvt、.q牛、.qed、.pif、.pdb、.pab、.ost、.ogg、.nvram、.ndf、.m2ts、.log、.hpp、.hdd、.groups、.flvv、.edb、.dit、.dat、.cmt、.bin、.aiff、.xlk、.wad、.tlg、.say、.sas7bdat、.qbm、.qbb、.ptx、.pfx、.pef、.pat、.oil、.odc 、.nsh、.nsg、.nsf、.nsd、.mos、.indd、.iif、.fpx、.fff、.fdb、.dtd、.design、.ddd、.dcr、.dac、.cdx、。.fxg、.flac、.eps、.dxb、.dxb、.dxb、.dxb、.dxb、.dxb、.drw、.dot、.cpi、.cls、.cdr、.arw、.aac、.thm、.srt、.save、.safe、.pwm、.pages、.obj、.mlb、.mbx、.lit 、.laccdb、.kwm、.idx、.html、.flf、.dxf、.dwg、.dds、.csv、.css、.config、.cfg、.cer、.asx、.aspx、.aoi、。 accdb、.7zip、.xls、.wab、.rtf、.prf、.ppt、.oab、.msg、.mapimail、.jnt、.doc、.dbx、.contact、.mid、.wma、.flv、.mkv、.mov、.avi、.asf、.mpeg、.vob、.mpg、.wmv、.fla、.swf、.wav、.qcow2、.vdi、.vmdk、.vmx、.wallet、.upk 、.sav、.ltx、.litesql、.litemod、.lbf、.iwi、.forge、.das、.d3dbsp、.bsa、.bik、.asset、.apk、.gpg、.aes、.ARC、。 PAQ、.tar.bz2、.tbk、.bak、。 tar、.tgz、.rar、.zip、.djv、.djvu、.svg、.bmp、.png、.gif、.raw、.cgm、.jpeg、.jpg、.tif、.tiff、.NEF、.psd、.cmd、.bat、.class、.jar、.java、.asp、.brd、.sch、.dch、.dip、.vbs、.asm、.pas、.cpp、.php、.ldf 、.mdf、.ibd、.MYI、.MYD、.frm、.odb、.dbf、.mdb、.sql、.SQLITEDB、.SQLITE3、.pst、.onetoc2、.asc、.lay6、.lay、。 ms11(セキュリティコピー)、.sldm、.sldx、.ppsm、.ppsx、.ppam、.docb、.mml、.sxm、.otg、.odg、.uop、.potx、.potm、.pptx、.pptm 、.std、.sxd、.pot、.pps、.sti、.sxi、.otp、.odp、.wks、.xltx、.xltm、.xlsx、.xlsm、.xlsb、.slk、.xlw、。.dl、.doc、.docx、.DOT、.max、.xml、.txt、.CSV、.uot、.RTF、.pdf、.XLS、.PPT、.stw、.sxw、.ott、.odt、.DOC、.pem、.csr、.crt、.ke。
方法Locky Ransomware攻撃を防ぎます。
Lockyは、あなたのPCに重大な脅威をもたらす危険なウイルスです。 あなたのPCを保護し、それを定期的に更新するアンチマルウェアソフトウェアとアンチ・トランザウェア・ソフトウェアを常に用意しておいてください。
重要なファイルを定期的にバックアップしてください。Windows OSおよびその他のソフトウェアを最新の状態に更新して、ソフトウェアの悪用を軽減してください。
Officeプログラムのマクロの読み込みを無効にすることもできるため、クラウドストレージよりもオフラインで保存することをお勧めします。感染したWord文書ファイルを開くと、危険にさらされる可能性があります。
「スパム」または「迷惑メール」セクションで盲目的にメールを開かないでください。これはあなたに、マルウェアを含む電子メールを開くことを誘惑する可能性があります。ウェブサイトや電子メールのWebリンクをクリックする前に、または知らない送信者の電子メール添付ファイルをダウンロードする前に考えてください。
拡張子が.LNKのファイル
拡張子が.wsfのファイル
- 二重ドット拡張子を持つファイル(たとえば、プロファイル-p29d … wsf)。
- 読み取り
- :あなたのWindowsコンピュータでRansomware攻撃の後に何をするのですか?
- Locky Ransomwareを解読する方法
- 今のところ、Lockyランサムウェアには解読者はありません。ただし、EmsisoftのDecryptorを使用して、ファイルの名前を.locky拡張子に変更した別のransomwareである
- AutoLocky
- によって暗号化されたファイルを復号化することもできます。 AutoLockyは、スクリプト言語AutoIを使用し、複雑で洗練されたLockyランサムウェアを模倣しようとします。利用可能なransomware decryptorツールの完全なリストはこちらからご覧いただけます。
- ソースとクレジット
:Microsoft | BleepingComputer | PCR( )