Locky Ransomware est mortel! Voici tout ce que vous devez savoir sur ce virus.
Locky est le nom d'un Ransomware qui a évolué tardivement, grâce à la mise à jour constante de l'algorithme par ses auteurs. Locky, comme son nom l'indique, renomme tous les fichiers importants du PC infecté en leur donnant une extension. .bloqué et demande une rançon pour les clés de décryptage.
Locky ransomware - Evolution
Ransomware a connu une croissance alarmante en 2016. Il utilise Email & Social Engineering pour entrer dans vos systèmes informatiques. La plupart des courriels contenant des documents malveillants étaient accompagnés de la populaire souche Locky, un ransomware. Parmi les milliards de messages utilisant des pièces jointes malveillantes dans des documents, environ 97% mentionnaient le ransomware Locky, ce qui représente une augmentation alarmante de 64% par rapport au premier trimestre 2016, date de sa découverte..
le Locky ransomware a été détecté pour la première fois en février 2016 et aurait été envoyé à un demi-million d'utilisateurs. Locky a été mis à l'honneur lorsque le centre médical presbytérien de Hollywood, en février de cette année, a payé une rançon de 17 000 $ Bitcoin pour la clé de déchiffrement des données des patients. Locky a infecté les données de l'hôpital via une pièce jointe à un courriel déguisée en facture Microsoft Word.
Depuis février, Locky enchaîne ses extensions dans le but de tromper les victimes qu’elles ont été infectées par un autre Ransomware. Locky a commencé à renommer les fichiers cryptés en .bloqué et au moment où l'été est arrivé, il a évolué vers le .zepto extension, qui a été utilisé dans plusieurs campagnes depuis.
Pour la dernière fois, Locky crypte maintenant des fichiers avec .ODIN extension, en essayant de confondre les utilisateurs qu’il s’agit en fait du ransomware Odin.
Locky Ransomware
Locky ransomware se propage principalement par le biais de campagnes de spam menées par les attaquants. Ces spams ont pour la plupart .fichiers doc en pièces jointes qui contiennent du texte brouillé qui semble être des macros.
Un courriel typique utilisé dans la distribution de ransomware Locky peut être une facture qui attire l’attention de la plupart des utilisateurs, par exemple,
Le sujet de l'e-mail pourrait être - "ATTN: facture P-12345678", pièce jointe infectée - “invoice_P-12345678.doc”(Contient des macros qui téléchargent et installent Locky ransomware sur des ordinateurs):”
Et le corps de l'e-mail - “Cher quelqu'un, Voir la facture ci-jointe (document Microsoft Word) et verser le paiement selon les termes indiqués au bas de la facture. Faites-nous savoir si vous avez des questions. Nous apprécions grandement vos affaires!
Une fois que l'utilisateur a activé les paramètres de macro dans le programme Word, un fichier exécutable, qui est en réalité le logiciel ransomware, est téléchargé sur le PC. Par la suite, divers logiciels sur le PC de la victime sont cryptés par le logiciel de ransomware, ce qui leur donne des noms uniques de combinaisons à 16 lettres avec .merde, .thor, .bloqué, .zepto ou .odin extensions de fichiers. Tous les fichiers sont cryptés en utilisant le RSA-2048 et AES-1024 algorithmes et nécessitent une clé privée stockée sur les serveurs distants contrôlés par les cybercriminels pour le déchiffrement.
Une fois les fichiers cryptés, Locky génère une quantité supplémentaire .SMS et _HELP_instructions.html fichier dans chaque dossier contenant les fichiers cryptés. Ce fichier texte contient un message (comme indiqué ci-dessous) informant les utilisateurs du chiffrement..
Il indique en outre que les fichiers ne peuvent être déchiffrés qu'à l'aide d'un déchiffreur développé par les cybercriminels et coûtant 0,5 BitCoin. Par conséquent, pour récupérer les fichiers, il est demandé à la victime d'installer le navigateur Tor et de suivre un lien fourni dans les fichiers texte / fond d'écran. Le site Web contient des instructions pour effectuer le paiement..
Rien ne garantit que, même après avoir effectué le paiement, les fichiers de victime seront déchiffrés. Mais généralement pour protéger sa «réputation», les auteurs de logiciels ransomware respectent généralement leur part du marché..
Locky Ransomware passant de l'extension .wsf à l'extension .LNK
Diffusez son évolution cette année en février; Les infections au ransomware de Locky ont progressivement diminué avec moins de détections de Nemucod, Locky utilise pour infecter les ordinateurs. (Nemucod est un fichier .wsf contenu dans des pièces jointes .zip dans un courrier indésirable). Cependant, comme le rapporte Microsoft, les auteurs Locky ont modifié la pièce jointe de .fichiers wsf à fichiers de raccourci (Extension .LNK) contenant les commandes PowerShell pour télécharger et exécuter Locky.
Un exemple de courrier indésirable ci-dessous montre qu'il est conçu pour attirer immédiatement l'attention des utilisateurs. Il est envoyé avec une grande importance et avec des caractères aléatoires dans la ligne d'objet. Le corps de l'email est vide.
Le courrier électronique indésirable se nomme généralement lorsque Bill arrive avec une pièce jointe .zip, qui contient les fichiers .LNK. En ouvrant la pièce jointe .zip, les utilisateurs déclenchent la chaîne d'infection. Cette menace est détectée comme TrojanDownloader: PowerShell / Ploprolo.A. Lorsque le script PowerShell s'exécute avec succès, il télécharge et exécute Locky dans un dossier temporaire complétant la chaîne d'infection..
Types de fichiers ciblés par Locky Ransomware
Vous trouverez ci-dessous les types de fichiers ciblés par Locky ransomware..
.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .swd,. .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf , .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mfc, .mdc, .lua, .kpdx,. kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .gray, .fhd, .ffd, .exf, .erf, .erb, .erbsql, .eml .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdrw. , .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .abd, .agdl, .ads,. adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vhd, .vm, .stm, .rvt, .qcow, .qed, .pif, .pdb. .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff , .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf,. nsd, .m os, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html,. flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg , .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod,. lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak,. tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .asm, .pas, .cpp, .php, .ldf .mdf, .ibd, .MYI, .MYD, .frm. .od b, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (copie de sécurité), .sldm, .sldx, .ppsm, .ppsx , .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti. sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlw, .xlm, .xlc, .dls, .stif, .sc .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .ot, .RTF, .pdf, .XLS, .PPT , .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .ke.
Comment prévenir l'attaque de Locky Ransomware
Locky est un virus dangereux qui menace gravement votre PC. Il est recommandé de suivre ces instructions pour éviter les ransomwares et éviter d’être infecté..
- Ayez toujours un logiciel anti-malware et un logiciel anti-ransomware protégeant votre PC et mettez-le à jour régulièrement.
- Mettez à jour votre système d'exploitation Windows et le reste de vos logiciels afin de limiter les possibles exploits logiciels..
- Sauvegardez régulièrement vos fichiers importants. C'est une bonne option de les enregistrer hors ligne que sur un stockage en nuage, car les virus peuvent également y accéder.
- Désactiver le chargement de macros dans les programmes Office. Ouvrir un fichier document Word infecté peut s'avérer risqué!
- N'ouvrez pas aveuglément des messages dans les sections "Spam" ou "Messages indésirables". Cela pourrait vous amener à ouvrir un email contenant le malware. Réfléchissez avant de cliquer sur des liens Web sur des sites Web ou dans des courriels ou de télécharger des pièces jointes à des courriers d'expéditeurs inconnus. Ne cliquez pas et n'ouvrez pas de telles pièces jointes:
- Fichiers avec l'extension .LNK
- Fichiers avec l'extension .wsf
- Fichiers avec une extension à double point (par exemple, profile-p29d… wsf).
Lis: Que faire après une attaque de Ransomware sur votre ordinateur Windows?
Comment décrypter Locky Ransomware
Pour l'instant, il n'y a pas de déchiffreur disponible pour le ransomware Locky. Cependant, un Decryptor de Emsisoft peut être utilisé pour déchiffrer des fichiers chiffrés par AutoLocky, un autre ransomware qui renomme également des fichiers avec l'extension .locky. AutoLocky utilise le langage de script AutoI et tente d'imiter le ransomware complexe et sophistiqué Locky. Vous pouvez voir la liste complète des outils de déchiffrement de ransomware disponibles ici.
Sources et Crédits: Microsoft | BleepingComputer | PCRisk.