Hvad er Locky Ransomware og hvordan man beskytter mod det?
Locky ransomware blev først opdaget i januar 2016. Det er siden vokset til at være en familie af ransomware-systemer
Mens den originale Locky ikke længere er aktiv, er varianter stadig derude. Der er heller ingen garanti for, at den originale Locky ikke kommer tilbage. Så der er al mulig grund til at undersøge denne malware og dens varianter og installere beskyttelsesforanstaltninger for at forhindre, at den kommer på dit system.
Locky ransomware-familieangreb Windows systemer. Angrebskampagner udført med Locky ransomware er opportunistiske og ikke målrettede. Koden til virussen er knyttet til spam e-mails der sendes ud til lister med hundredtusindvis af e-mail-adresser ad gangen.
Strategien er et talspil. En procentdel af modtagerne vil være interesseret i den generiske tekst i e-mailen, og en procentdel af disse personer vil åbne den vedhæftede fil. En undergruppe af dette nummer vil aktivere makroer der indlæser Locky ransomware.
Mål for Locky ransomware
Selvom Lockys indgangsstrategi er gennemført masseudsendelser , er det muligt at skræddersy dette målfelt ved at anskaffe lister over e-mails i specifikke brancher. Det Sundhedssektoren har været et massivt mål for Locky. Det Telecom og Transport sektorer er de næststørste mål.
At målrette virksomheder er mere rentable end angreb på privatpersoner. Store organisationer har flere penge til overs end enkeltpersoner, og de har også mere at tabe. Mens mange ransomware opkræver omkring $500 for afhjælpning, var Lockys løsesum normalt mellem $4.500 til $10.000, indbetalt Bitcoin . Dette er ikke den meget høje ende af krav om løsesum; noget ransomware kræver beløb i millioner af dollars.
Necurs botnet
De fleste e-mail-systemer gælder nu spamfiltre automatisk. Disse er sortlistesystemer, der spotter store forsendelser fra ét domæne eller en e-mail-adresse. Spamfiltre omdirigerer identificerede e-mails til Spam/Junk-mappen eller blokerer ligefrem disse e-mails fra at blive downloadet til klienten.
Skaberne af Locky kom uden om dette problem ved at skabe botnettet . Både hackergruppen og botnettet kaldes Necurs . Et botnet er flere private computere, der er blevet inficeret med en virus. Hver enhed i botnettet kaldes en ' zombie .' Virussen åbner med jævne mellemrum en forbindelse til en ' kommando og kontrol ' server ( C&C ), som giver dem instruktioner om, hvad de skal gøre.
Necurs bruger sit botnet til at sende e-mails ud. Der er millioner af computere i botnettet. Disse computere kan være store virksomhedsservere, og Necurs har derfor en stor kapacitet. Spamfiltre sortliste kilde IP-adresser og domænenavne, der sender et stort antal e-mails. Ved at sprede rundt på opgaven med at udsende e-mails, undgår Necurs det filter. Kildedomænerne, der er angivet i disse e-mails, er normalt falske - de behøver ikke modtagere for at svare, bare åbn den vedhæftede fil.
Hvordan fungerer Locky ransomware?
Den samme spam-mail, som handler om en ubetalt faktura, sendes ud til hundredtusindvis af modtagere. Mailen har et Word-dokument som en vedhæftet fil, og mailens besked opfordrer modtageren til at åbne den. Indholdet af dokumentet er uforståeligt - kun et virvar af tegn. En pop-up forklarer, at dokumentet er blevet krypteret, og at et tryk på en knap i pop op-vinduet vil afkode det.
Knappen i dokument popup aktiverer makroerne i filen. Disse fungerer som en downloader, der åbner en forbindelse til C&C-serveren og downloader et installationsprogram. Med dette har Necurs-gruppen en agent på den computer. Enheden kan bruges som en del af botnettet eller inficeres med Locky ransomware.
Locky-koden kopieres ikke som en fil. I stedet indlæses det direkte i hukommelse . Installationsprogrammet tjekker med jævne mellemrum for den kørende proces, og hvis det ikke kan finde det, downloader det programmet og kører det igen. Det betyder, at Locky-programmet ikke behøver at være på computeren for at fungere. Dette besejrer en af standarddetektionsmetoderne antimalware . Selve installationsprogrammet skal dog gemmes på computeren, så en indikator kan identificeres. Installationsprogrammet downloader også nogle .txt- og .bmp-filer til brug i løsesumskravet.
Locky spreder sig ikke. Den begynder bare at kryptere filer med det samme på den computer, den er installeret på. Krypteringsprocessen ændrer hvert filnavn til at have et ID, der består af 16 tegn og indeholder både tal og bogstaver. Den krypterede fil har en anden udvidelse. Den første version af Locky brugte .locky-udvidelsen. Senere versioner og varianter brugte følgende udvidelser til krypterede filer:
- .zepto
- .odin
- .shit
- .thor
- .aesir
- .zzzzzz
- .osiris
Den sidste version af ransomware dukkede op i december 2016 ved hjælp af .osiris udvidelse.
Locky-kravet om løsesum
Locky krypterer filer med to cifre. Disse er AES kryptering med en 128-bit nøgle og RSA kryptering med en 2048-bit nøgle. Nøglerne genereres på Necurs-serveren og sendes til Locky-malwaren. De er også gemt med en referencekode.
Krypteringen påvirker kun datafiler - filer, der indeholder for at identificere en indikator tekst, billeder, video eller lyd. Det krypterer ikke eksekverbar filer. Dette er vigtigt, fordi det betyder, at du stadig kan bruge computeren. Hackerne vil have dig til at betale fra den computer, så de ønsker ikke at deaktivere den. Ransomwaren ændrer baggrunden for den inficerede computers skrivebord, så den vises kravet om løsesum . Denne note er også tilgængelig i en tekstfil, der er kopieret til computeren.
Instruktionerne fortæller offeret at installere Tor-browseren og bruge den til at få adgang til Necurs-webstedet. Sedlen inkluderer også et unikt ID, der refererer til hittet og udtrækker den korrekte dekrypteringsnøgle, når løsesummen er betalt. Offeret skal indtaste angrebs-id'et og Bitcoin-koden i en formular på Necurs-webstedet. En dekryptering med dekrypteringsnøglen indlejret i den sendes derefter via e-mail.
Noget ransomware, enten gennem sjusket programmering eller bevidst, vil ikke levere en metode til at gendanne filer. Det gør Locky heldigvis. De, der betaler løsesummen, kan få adgang til alle deres filer igen.
Varianter af Locky ransomware
Der har været flere opdateringer til Locky, der ændrede, hvordan ransomware fungerede og kan identificeres af de forskellige udvidelser, der bruges til krypterede filer. Bortset fra programmatiske ændringer foretaget af Necurs-gruppen, har der været to varianter i omløb, som Necurs ikke nødvendigvis producerede.
PowerLocky
PowerLocky er en blanding af to ransomware-systemer: Locky og PowerWare . Denne krypteringsbaserede afpresningssoftware distribueres som en eksekverbar .NET-fil blev skrevet ind PowerShell . Det kræver en løsesum på 0,75 Bitcoin, som på det tidspunkt, hvor systemet var aktivt i juli 2016, var værd $500. I dag konverteres denne Bitcoin-værdi til $29.600.
Ligesom den originale Locky ændrer PowerLocky navnene på alle krypterede filer og sætter .locky-udvidelsen på dem. PowerLocky løsesumseddel er en nøjagtig kopi af det, der blev brugt af Locky.
Låsning
Låsning opstod i august 2017. Necurs-botnettet distribuerede også denne Locky-stamme som en vedhæftet fil til en massemailudsendelse. “ Låsning ' er finsk for ' låsning .' I Lukitus-kampagnen var den vedhæftede fil en .zip- eller .rar-arkivfil, og den inficerende kode blev skrevet i JavaScipt eller VBScript .
Inficerede filer får filtypenavnet .lukitus. Efter at have fuldført sin krypteringsopgave, fjernes den primære eksekverbare.
Sådan beskytter du dig mod Locky ransomware
En opmuntrende nyhed er, at takket være indsatsen fra Microsofts juridiske team, er Locky ikke længere en væsentlig trussel. Microsoft sporede C&C-serverne og truede deres værter med retslige skridt, hvilket fik dem til fjerne disse konti i marts 2020. Selvom Necurs-botnet-malwaren stadig findes på millioner af computere, eksisterer de IP-adresser, der er indkodet hårdt i dem til polling af instruktioner, ikke længere. Da Microsoft kastede kniven i sig, havde Necurs kontrolleret mere end 9 mio zombie computere.
På trods af disse gode nyheder kan du ikke være selvtilfreds med Necurs og Locky - de kan nemt vende tilbage.
Det bedste forsvar mod Locky er at uddanne brugerne mod at åbne vedhæftede filer i e-mails fra folk, som de aldrig har hørt om. Det er også vigtigt at beholde al din software helt opdateret at lukke exploits og beskytte dit system mod alle typer malware. Du bør også implementere en backup-strategi der håndterer og gemmer filer fra hvert endepunkt separat for at undgå krydsinfektion.
Du kan købe og installere nogle fremragende værktøjer til at blokere Locky og alle andre mærker af ransomware. Her er to, som vi anbefaler.
1. CrowdStrike Falcon Insight (GRATIS PRØVE)
CrowdStrike Falcon Insight er en pakke af cybersikkerhedsværktøjer, der inkluderer både on-site og cloud-elementer. On-site-delen af dette system er et agentprogram, der er installeret på hvert slutpunkt. Dette er en komplet slutpunktsdetektions- og responstjeneste, og CrowdStrike markedsfører den også som en selvstændig pakke kaldet Falcon Prevent .
Falcon Prevent er tilstrækkeligt omfattende til, at det kan fortsætte med at beskytte en enhed, selv når isoleret fra netværket og kan ikke kontakte Insight-controlleren i skyen. Kommunikationen mellem Prevent og Insight uploader aktivitetsrapporter og downloader instruktioner. Insight-systemet analyserer aktivitetsrapporter ifølge de seneste trusselsefterretninger. Designet leder efter unormale handlinger i stedet for specifikke filer. Dette er den perfekte detektionsmetode for Locky, som ikke taber en eksekverbar fil på den målrettede enhed. Slutpunktsagenten udfører også denne registreringsmetode, så Locky får ikke et kig ind.
Udbedringsforanstaltninger omfatte isolering af enheden fra netværket, så infektioner ikke kan spredes. Systemet kan også beordre en lukning af enheden, sletning og en gendannelse fra backup. Mens Locky ikke stoler på brugerkonti , gør anden ransomware. Falcon Insight kan suspendere mistænkelige brugerkonti og blokere adgang til sortlistede IP-adresser og domæner.
Falcon Insight er bakket op af CrowdStrike forskningslaboratorier og hændelsesregistreringer fra andre CrowdStrike-kunder. Koordineringssystemet for Insight kan videregive trusselsintelligens til alle enheder på netværket, så så snart et endepunkt er ramt, er alle de andre i alarmberedskab.
Du kan få en15 dages gratis prøveperiodeaf Falcon Prevent.
CrowdStrike Falcon Insight Start 15-dages GRATIS prøveperiode
to. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus er et beskyttelsessystem for følsomme data. Dette er især nyttigt for de virksomheder, der er involveret i sundhedssektoren, som var et primært mål for Locky. Følgende virksomheder HIPAA skal sikre, at alle patientdata er tilgængelige til passende brug og ikke bliver afsløret. De samme regler gælder for PCI DSS og GDPR . Handlingslogningsfunktioner i pakken er velegnede til revision af standarder.
DataSecurity Plus gennemsøger først systemet og registrerer alle placeringer af datalagre. Den dokumenterer disse og scanner derefter hver butik og kategoriserer dataene der. Dette gør det muligt for tjenesten at fokusere beskyttelsen på følsomme data. Skærmen overvåger derefter de filer, der indeholder disse data, og forhindrer dem i at manipulere. Systemet overvåger også e-mails og USB-enheder for at forhindre virus i at trænge ind og data i at komme ud.
Filbeskyttelsessystemet kaldes en Filintegritetsmonitor ( SLUTTEN ). Dette udløser en advarsel, når der sker en uautoriseret ændring i en overvåget fil. Så det første krypteringsforsøg fra Locky ville udløse en meddelelse.
Systemet kan sættes op til at implementere afhjælpningshandlinger automatisk. Eksempler på disse arbejdsgange er nedlukning af et inficeret slutpunkt, gendannelse af filer fra backup, aflivning af processer og suspendering af brugerkonti.
Denne software installeres på Windows Server og beskytter computere, der kører Windows-operativsystemet - målene for Locky.
ManageEngine DataSecurity Plus er tilgængelig for en 30 dages gratis prøveperiode .