Locky

Locky

Alias	Ransom:Win32/Locky.A ( Microsoft ) Trojan.Encoder.3976 ( Dr.Web ) Win32/Filecoder.Locky.A ( ESET ) Malicious_Behavior.VEX.99 ( Fortinet ) Trojan.Win32.Filecoder (Ikarus) Trojan-Ransom.Win32.Locky.d ( Kaspersky Lab ) Trojan.Cryptolocker.AF ( Symantec ) Ransom_LOCKY.A ( Trend Micro )
Typ	Trojan
Undertyp	Ransomware
Författare	Necurs

Locky är ransomware skadlig programvara som släpptes 2016. Den levereras via e-post (det påstås vara en faktura som kräver betalning) med ett bifogat Microsoft Word- dokument som innehåller skadliga makron . När användaren öppnar dokumentet verkar det vara fullt av skratt och innehåller frasen "Aktivera makro om datakodningen är felaktig", en social ingenjörsteknik . Om användaren aktiverar makron, sparar och kör de en binär fil som laddar ner den faktiska krypteringstrojanen, som kommer att kryptera alla filer som matchar vissa tillägg. Filnamn konverteras till en unik kombination av 16 bokstäver och siffror. Från början användes endast filtillägget .locky för dessa krypterade filer. Därefter har andra filtillägg använts, inklusive .zepto, .odin, .aesir, .thor och .zzzzz. Efter kryptering instrueras ett meddelande (visas på användarens skrivbord) att ladda ner Tor-webbläsaren och besöka en specifik brottslig webbplats för ytterligare information. Webbplatsen innehåller instruktioner som kräver en betalning på mellan 0,5 och 1 bitcoin (från och med november 2017 varierar en bitcoin i värde mellan $9 000 och $10 000 via en bitcoinbörs ). Eftersom brottslingarna har den privata nyckeln och fjärrservrarna kontrolleras av dem, är offren motiverade att betala för att dekryptera sina filer.

Drift

Den vanligaste rapporterade infektionsmekanismen innebär att man får ett e-postmeddelande med en bifogad fil från Microsoft Word som innehåller koden. Dokumentet är skrattretande och uppmanar användaren att aktivera makron för att visa dokumentet. Genom att aktivera makron och öppna dokumentet startas Locky-viruset. När viruset väl har lanserats laddas det in i användarsystemets minne, krypterar dokument som hash.locky-filer, installerar .bmp- och .txt-filer och kan kryptera nätverksfiler som användaren har tillgång till. Detta har varit en annan väg än de flesta ransomware eftersom det använder makron och bilagor för att spridas istället för att installeras av en trojan eller använda en tidigare exploatering.

Uppdateringar

Den 22 juni 2016 släppte Necurs en ny version av Locky med en ny laddarkomponent, som inkluderar flera tekniker som undviker detektering, som att detektera om den körs i en virtuell maskin eller inom en fysisk maskin, och omplacering av instruktionskod.

Sedan Locky släpptes har det släppts många varianter som använde olika tillägg för krypterade filer. Många av dessa förlängningar är uppkallade efter gudar i nordisk och egyptisk mytologi. När den först släpptes var tillägget som användes för krypterade filer .Locky. Andra versioner använde tilläggen .zepto, .odin, .shit, .thor, .aesir och .zzzzz för krypterade filer. Den nuvarande versionen, som släpptes i december 2016, använder tillägget .osiris för krypterade filer.

Distributionsmetoder

Många olika distributionsmetoder för Locky har använts sedan ransomwaren släpptes. Dessa distributionsmetoder inkluderar exploateringssatser, Word- och Excel-bilagor med skadliga makron, DOCM-bilagor och zippade JS-bilagor.

Den allmänna enigheten bland säkerhetsexperter för att skydda dig mot ransomware, inklusive Locky, är att hålla dina installerade program uppdaterade och att endast öppna bilagor från kända avsändare.

Kryptering

Locky använder RSA-2048 + AES-128-chiffer med ECB-läge för att kryptera filer. Nycklar genereras på serversidan, vilket gör manuell dekryptering omöjlig, och Locky ransomware kan kryptera filer på alla fasta enheter, flyttbara enheter, nätverk och RAM-diskenheter.

Utbredning

Locky rapporteras ha skickats till ungefär en halv miljon användare den 16 februari 2016, och för perioden omedelbart efter ökade angriparna sin distribution till miljontals användare. Trots den nyare versionen indikerar Google Trend-data att infektioner har minskat runt juni 2016.

Anmärkningsvärda incidenter

Den 18 februari 2016 betalade Hollywood Presbyterian Medical Center en lösensumma på 17 000 dollar i form av bitcoins för dekrypteringsnyckeln för patientdata. Sjukhuset infekterades av leveransen av en e-postbilaga förklädd som en Microsoft Word-faktura. Detta har lett till ökad rädsla och kunskap om ransomware i allmänhet och har fört ut ransomware i allmänhetens rampljus igen. Det verkar finnas en trend i att ransomware används för att attackera sjukhus och den verkar växa.

Den 31 maj blev Necurs vilande, kanske på grund av ett fel i C&C-servern. ^{[ citat behövs ] [ originalforskning? ]} Enligt Softpedia fanns det mindre skräppostmeddelanden med Locky eller Dridex bifogade. Den 22 juni upptäckte MalwareTech dock att Necurs bots konsekvent frågade DGA tills en C&C-server svarade med ett digitalt signerat svar. Detta betydde att Necurs inte längre var vilande. Den cyberkriminella gruppen började också skicka en mycket stor mängd spam-e-postmeddelanden med nya och förbättrade versioner av Locky och Dridex bifogade, samt ett nytt meddelande och zippad JavaScript -kod i mejlen.

I april 2016 infekterades Dartford Science & Technology Colleges datorer med viruset. En elev hade öppnat ett infekterat mejl som snabbt spred sig och krypterade många skolfiler. Viruset låg kvar på datorn i flera veckor. Så småningom lyckades de ta bort viruset genom att använda systemåterställning för alla datorer.

Spam e-vektor

Ett exempelmeddelande med Locky som bilaga är följande:

Kära (slumpmässigt namn):

Vänligen bifoga vår faktura för utförda tjänster och ytterligare utbetalningar i ovan nämnda ärende.

Hoppas att ovanstående är tillfredsställande, vi finns kvar

Vänliga hälsningar,

(slumpmässigt namn)

(slumpmässig titel)