Locky Ransomware는 치명적입니다! 이 바이러스에 대해 알아야 할 것이 전부입니다.

Locky 는 지속적인 알고리즘 업그레이드 덕분에 늦게 진화 한 Ransomware의 이름입니다 그것의 저자에 의해. Locky는 이름에서 알 수 있듯이 감염된 PC의 모든 중요한 파일의 이름을 변경하여 확장명을.locky 로 지정하고 암호 해독 키를 요구합니다.

Locky Ransomware - Evolution

Ransomware가 성장했습니다 2016 년 놀라운 속도로 나타났습니다. 이메일 및 사회 공학을 사용하여 컴퓨터 시스템에 들어갑니다. 악의적 인 문서가 첨부 된 대부분의 전자 메일에는 인기있는 ransomware 변형 Locky가 포함되었습니다. 악의적 인 문서 첨부 파일을 사용하는 수십억 개의 메시지 중 97 %가 Locky ranseware를 특징으로했으며, 이는 처음 발견되었을 때 2016 년 1 분기에 비해 64 % 증가한 수치입니다.

Locky ranseware 2016 년 2 월에 50 만 명의 사용자에게 보냈다고합니다. Locky는 올해 2 월 Hollywood Presbyterian Medical Center에서 환자 데이터 암호 해독 키로 17,000 달러 Bitcoin 대가를 지불했을 때 주목을 받았다. Locky는 Microsoft Word 청구서로 위장한 전자 메일 첨부 파일을 통해 병원의 데이터를 감염 시켰습니다.

2 월 이후 Locky는 다른 Ransomware에 감염된 희생자를기만하기 ​​위해 2 월 이후로 확장을 연결했습니다. Locky는 원래 암호화 된 파일의 이름을

.locky 로 변경하기 시작했으며 이후 여름에 도착했을 때부터 여러 캠페인에서 사용 된 .zepto 확장 프로그램으로 발전했습니다. 이제 Locky는

.ODIN 확장자를 가진 파일을 암호화하여 실제로는 Odin ransomware임을 혼동합니다. Locky Ransomware

Locky Ransomware는 주로 공격자가 실행하는 스팸 전자 메일 캠페인을 통해 확산됩니다. 이러한 스팸 이메일의 대부분은 매크로 인 것처럼 보이는 스크램블 된 텍스트를 포함하는 첨부 파일

으로 .doc 파일이 있습니다. Locky ransomware 배포에 사용되는 일반적인 이메일은 대부분의 사용자의주의를 끌 수있는 인보이스 일 수 있습니다.

이메일 제목은 "ATTN: 송장 P-12345678"

, 감염된 첨부 파일 "- invoice_P-12345678.doc "(컴퓨터에 Locky ransomware를 다운로드하고 설치하는 매크로 포함)): " 이메일 본문 -"다른 사람에게 첨부 된 인보이스 (Microsoft Word 문서)를보고 인보이스 하단에 나열된 조건에 따라 지불하십시오. 궁금한 점이 있으면 알려주십시오. 우리는 귀하의 비즈니스에 진심으로 감사드립니다! " Word 프로그램에서 사용자가 매크로 설정을 활성화하면 실제로는 트랜샌 즘 인 실행 파일이 PC에 다운로드됩니다. 그런 다음 피해자의 PC에있는 다양한 파일들이 ransomware에 의해 암호화되어

.sit

, .locky , .zepto 또는 .odin 개의 파일 확장자. 모든 파일은 RSA-2048 및 AES-1024 알고리즘을 사용하여 암호화되며 암호 해독을 위해 사이버 범죄자가 제어하는 ​​원격 서버에 저장된 개인 키가 필요합니다. 암호화되어있는 경우 Locky는 암호화 된 파일이 들어있는 각 폴더에 추가 .txt 및 _HELP_instructions.html

파일을 생성합니다. 이 텍스트 파일에는 사용자에게 암호화를 알리는 메시지 (아래 그림 참조)가 포함되어 있습니다. 또한 파일은 사이버 범죄자가 개발하고.5 BitCoin 비용이 책정 된 해독기를 사용해서 만 해독 할 수 있다고 명시되어 있습니다. 따라서 파일을 다시 가져 오려면 피해자가 Tor 브라우저를 설치하고 텍스트 파일 / 배경 화면에 제공된 링크를 따라야합니다. 웹 사이트에는 지불을위한 지시 사항이 들어 있습니다. 지불 후에도 피해자 파일이 해독된다는 보장은 없습니다. 그러나 일반적으로 `명성`을 지키려는 ransomware 제작자는 대개 협상의 일부를 고수합니다. Locky Ransomware가.wsf에서.LNK 확장자로 변경됩니다. Locky가 컴퓨터를 감염시키기 위해 사용하는

Nemucod

의 탐지 수가 감소함에 따라 Locky ransomware 감염이 점차 감소했습니다. (Nemucod는 스팸 전자 메일의.zip 첨부 파일에 포함 된.wsf 파일입니다.) 그러나 Microsoft에서보고 한 바와 같이 Locky 제작자는 Locky를 다운로드하고 실행하는 PowerShell 명령이 포함 된

.wsf 파일

에서 바로 가기 파일 (.LNK 확장자)로 첨부 파일을 변경했습니다. 아래 스팸 전자 메일의 예는 사용자로부터 즉각적인 관심을 끌도록 만들어 졌음을 보여줍니다. 그것은 중요도가 높고 제목에 임의의 문자가 포함되어 전송됩니다. 전자 메일 본문이 비어 있습니다. 일반적으로 Bill이.LNK 파일을 포함하는.zip 첨부 파일과 함께 도착함에 따라 스팸 전자 메일의 이름이 지정됩니다..zip 첨부 파일을 열면 사용자가 감염 체인을 트리거합니다. 이 위협 요소는 TrojanDownloader: PowerShell / Ploprolo.A 로 탐지됩니다. PowerShell 스크립트가 성공적으로 실행되면 감염 체인을 완료하는 임시 폴더에 Locky를 다운로드하고 실행합니다. Locky Ransomware 대상 파일 형식

Locky Lansomware

.yuv가 대상으로하는 파일 형식은 다음과 같습니다..swg,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.dvb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q 암소,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,..fxg,.flac,.eps,.dxb,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi..dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. 타르,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay. ms11 (보안 복사본),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,..xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke. 방법 Locky Ransomware 공격 방지 Locky는 PC에 심각한 위협을 가하는 위험한 바이러스입니다. 이 지시 사항에 따라 ransomware를 예방하고 감염되지 않도록하는 것이 좋습니다.

항상 PC를 보호하고 정기적으로 업데이트하는 안티 멀웨어 소프트웨어 및 안티 ransomware 소프트웨어를 보유하십시오.

잠재적 인 소프트웨어 악용을 줄이기 위해 Windows OS 및 나머지 소프트웨어를 최신으로 업데이트하십시오.

중요한 파일을 정기적으로 백업하십시오. 바이러스가

Office 프로그램에서 매크로 로딩을 비활성화 할 수 있기 때문에 클라우드 저장소보다 오프라인으로 저장하는 것이 좋습니다. 감염된 Word 문서 파일을 여는 것은 위험 할 수 있습니다!

"스팸 메일"또는 "정크 메일"섹션에서 메일을 맹목적으로 열지 마십시오. 이렇게하면 악성 코드가 포함 된 이메일을 열게 될 수 있습니다. 웹 사이트 또는 전자 메일의 웹 링크를 클릭하기 전에 또는 모르는 발신자의 전자 메일 첨부 파일을 다운로드하기 전에 생각하십시오.

1. 확장자가.LNK 인 파일
2. 확장명이.wsf 인 파일
3. 이중 점 확장자가있는 파일 (예: profile-p29d … wsf).
4. 읽기
5. : Windows 컴퓨터에서 Ransomware 공격 후 수행 할 작업
1. Locky Ransomware를 해독하는 방법
2. 지금까지 Locky ransomware에는 해독기가 없습니다. 그러나 Emsisoft의 Decryptor는
3. AutoLocky

에 의해 암호화 된 파일의 암호를 해독하는 데 사용할 수 있으며, 파일 이름도.locky 확장자로 바뀝니다. AutoLocky는 스크립팅 언어 인 AutoI를 사용하여 복잡하고 정교한 Locky ransomware를 모방하려고합니다. 여기서 사용할 수있는 ransomware decryptor 도구의 전체 목록을 볼 수 있습니다. 출처 및 크레딧

: Microsoft | BleepingComputer | PCR.