Locky

Locky är en nätverksmask och ransomware som attackerar Microsoft Windows och Mac OS operativsystem . Det blev viralt 2016. Den distribueras via e-post (under sken av en faktura som kräver betalning) med ett bifogat Microsoft Word-dokument som innehåller skadliga makron [1] . Det är en krypteringstrojan som krypterar filer på infekterade datorer. Som ett resultat försöker ransomware att samla in lösen för dekryptering från användare av infekterade datorer.

Angreppsmetod

Infektionsmekanismen är att få ett e-postmeddelande med ett bifogat Microsoft Word-dokument som innehåller skadlig kod. När filen öppnas uppmanas användaren att aktivera makron för att visa dokumentet. Genom att aktivera makron och öppna ett dokument startas Locky-viruset [2] . Efter att viruset har lanserats laddas det in i användarens systemminne och krypterar dokument i form av hash.locky-filer. Från början användes endast filtillägget .locky för krypterade filer. Därefter har andra filtillägg använts, inklusive .zepto, .odin, .aesir, .thor och .zzzzz. När det väl är krypterat instrueras ett meddelande (visas på användarens skrivbord) att ladda ner Tor-webbläsaren och besöka en specifik brottslig webbplats för mer information. Webbplatsen innehåller instruktioner som kräver en utbetalning mellan 0,5 och 1 bitcoin (från och med november 2017 varierar värdet på en bitcoin från $9 000 till $10 000 genom ett bitcoinutbyte). Eftersom brottslingarna har den privata nyckeln och fjärrservrar kontrolleras av dem, motiveras offren att betala för att få sina filer dekrypterade [2] [3] .

Uppdateringar

Den 22 juni 2016 släppte Necurs en ny version av Locky med en ny bootloader-komponent som innehåller flera metoder för att undvika upptäckt, som att upptäcka om den körs på en virtuell maskin eller på en fysisk maskin och flytta instruktionskoden [4] .

Sedan Locky släpptes har många varianter släppts som använder olika tillägg för krypterade filer. Många av dessa förlängningar är uppkallade efter gudar från nordisk och egyptisk mytologi. När det först släpptes var tillägget som användes för krypterade filer .Locky. Andra versioner använde tilläggen .zepto, .odin, .shit, .thor, .aesir och .zzzzz för krypterade filer. Den nuvarande versionen, som släpptes i december 2016, använder tillägget .osiris för krypterade filer [5] .

Distribution

Sedan släppet av ransomware har många olika distributionsmetoder använts. Dessa distributionsmetoder inkluderar exploateringssatser [6] , Word- och Excel-bilagor med skadliga makron [7] , DOCM-bilagor [8] och JS-bilagor [9] .

Kryptering

Locky använder RSA-2048 + AES-128 med ECB-läge för filkryptering. Nycklar genereras på serversidan, vilket gör manuell dekryptering omöjlig, och Locky Ransomware kan kryptera filer på alla hårddiskar, flyttbara enheter, nätverksenheter och RAM-enheter [10] .

Prevalens

Från och med den 16 februari 2016 sändes Locky ut till cirka en halv miljon användare, och direkt efter ökade angriparna sin distribution till miljontals användare. Trots den nyare versionen visar Google Trend-data att infektionerna upphörde runt juni 2016 [11] .

Anmärkningsvärda incidenter

Den 18 februari 2016 betalade Hollywood Presbyterian Medical Center en lösensumma på 17 000 dollar i bitcoin för en patientdatadekrypteringsnyckel [12] .

I april 2016 infekterades datorer vid Dartford College of Science and Technology med ett virus. Eleven öppnade det infekterade mejlet, som snabbt spred sig och krypterade många av skolans filer. Viruset låg kvar på datorn i flera veckor. De lyckades så småningom ta bort viruset med systemåterställning för alla datorer.

Microsoft lyckades fånga sex miljoner domännamn som används av Necurs botnät [ 13] .

Ett exempel på ett infekterat meddelande

Kära (slumpmässigt namn):

Vänligen se vår bifogade faktura för utförda tjänster och ytterligare utbetalningar i ovan nämnda ärende.

Hoppas att ovanstående är tillfredsställande, vi finns kvar

vänliga hälsningar,

(slumpmässigt namn)

(slumpmässig titel)

Anteckningar

↑ Sean Gallagher. "Locky" crypto-ransomware rider in på skadligt Word- dokumentmakro . Ars Technica (17 februari 2016). Hämtad 18 december 2019. Arkiverad från originalet 19 december 2019.
↑ 1 2 "Locky" ransomware - vad du behöver veta (eng.) . Naken Security (17 februari 2016). Hämtad 18 december 2019. Arkiverad från originalet 19 december 2019.
↑ "Locky" ransomware - vad du behöver veta . Naken Security (17 februari 2016). Hämtad 18 december 2019. Arkiverad från originalet 19 december 2019.
↑ Google Översätt . translate.google.com. Hämtad: 18 december 2019. (obestämd)
↑ Locky Ransomware Information, Hjälpguide och FAQ . Bleeping Computer. Hämtad 18 december 2019. Arkiverad från originalet 17 januari 2020.
↑ Malware-Traffic-Analysis.net - 2016-12-23 - Afraidgate Rig-V från 81.177.140.7 skickar "Osiris"-varianten Locky . www.malware-traffic-analysis.net. Hämtad 18 december 2019. Arkiverad från originalet 18 december 2019. (obestämd)
↑ Locky Ransomware byter till egyptisk mytologi med Osiris -tillägget . Bleeping Computer. Hämtad 18 december 2019. Arkiverad från originalet 19 november 2020.
↑ Locky Ransomware distribueras via DOCM-bilagor i senaste e -postkampanjer . eld öga. Hämtad 18 december 2019. Arkiverad från originalet 19 december 2019.
↑ Locky Ransomware nu inbäddad i Javascript . Cyren. Hämtad 18 december 2019. Arkiverad från originalet 30 december 2019.
↑ Vad är Locky ransomware? (engelska) . Vad är Locky Ransomware?. Hämtad 18 december 2019. Arkiverad från originalet 19 december 2019.
↑ Google Trender . Google Trender. Hämtad 18 december 2019. Arkiverad från originalet 10 februari 2017. (ryska)
↑ Hollywood sjukhus betalar $17 000 i bitcoin till hackare; FBI undersöker . Los Angeles Times (18 februari 2016). Hämtad 18 december 2019. Arkiverad från originalet 23 december 2019.
↑ Microsoft lanserade en attack mot Necurs botnät . Hämtad 21 mars 2020. Arkiverad från originalet 21 mars 2020. (obestämd)

Hackerattacker på 2010-talet
Största attackerna	Cyberattacker i Australien (2010) Operation Digi Notar Operation Hacka och stänga av PlayStation Network Operation isdimma Operation Red October e LinkedIn hack (2012) Cyberattack mot Sydkorea (2013) snapchat Drift Massiv hackning av iCloud-konto Hacka Sony Pictures Entertainment-servrar Cyberattack mot USA:s demokratiska nationella kommitté Cyberattack på Dyn Cyberattack mot Palace of Westminster WannaCry ransomware attack Hackerattacker mot Ukraina (2017)
Grupper och grupper av hackare	Anonym internationell Anonym cyberkut Division 121 Mysig björn Derp GNAA fantasibjörn Goatse Security Lizard Squad LulzRaft LulzSec NullCrew Avdelning 61398 RedHack Syriska elektroniska armén Jemens elektroniska armé Irans elektroniska armé TeaMp0isoN åtkomstoperationer UGNazi
ensamma hackare	Jeremy Hammond George Hotz Guccifer Guccifer Sabu Topiary The Jester weev
Upptäckte kritiska sårbarheter	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) PUDLE (SSL, 2014) Rootpipe (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty Cow (Linux, 2016) EternalBlue ( SMBv1 , 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorn (2017) Meltdown (2018) Spectre (2018) Blue Keep (2019)
Datavirus	Asprox dålig kanin BASHLITE Bredolab Carbanak carberp Careto carna Citadell CryptoLocker Cutwail Dexter donbot Dridex duqu EternalRocks FinFisher flamma Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye stjärnor Stuxnet TDL-4 Virut Vulcanbot Vill gråta Noll åtkomst ANT katalog
2000 -tal • 2010 -tal • 2020-tal