Locky

Locky este un vierme de rețea și un ransomware care atacă sistemele de operare Microsoft Windows și Mac OS . A devenit viral în 2016. Este distribuit prin e-mail (sub pretextul unei facturi care necesită plata) cu un document Microsoft Word atașat care conține macrocomenzi rău intenționate [1] . Este un troian de criptare care criptează fișierele de pe computerele infectate. Drept urmare, ransomware-ul încearcă să colecteze răscumpărare pentru decriptare de la utilizatorii computerelor infectate.

Metoda de atac

Mecanismul de infectare este primirea unui e-mail cu un document Microsoft Word atașat care conține cod rău intenționat. Când este deschis, fișierul solicită utilizatorului să activeze macrocomenzi pentru a vizualiza documentul. Activarea macrocomenzilor și deschiderea unui document lansează virusul Locky [2] . După ce virusul este lansat, acesta este încărcat în memoria de sistem a utilizatorului și criptează documentele sub formă de fișiere hash.locky. Inițial, numai extensia de fișier .locky a fost folosită pentru fișierele criptate. Ulterior, au fost utilizate alte extensii de fișiere, inclusiv .zepto, .odin, .aesir, .thor și .zzzzz. Odată criptat, un mesaj (afișat pe desktopul utilizatorului) îi cere să descarce browserul Tor și să viziteze un anumit site web criminal pentru mai multe informații. Site-ul web conține instrucțiuni care necesită o plată între 0,5 și 1 bitcoin (din noiembrie 2017, valoarea unui bitcoin variază de la 9.000 USD la 10.000 USD printr-un schimb de bitcoin). Deoarece criminalii au cheia privată și serverele la distanță sunt controlate de ei, victimele sunt motivate să plătească pentru a le decripta fișierele [2] [3] .

Actualizări

Pe 22 iunie 2016, Necurs a lansat o nouă versiune de Locky cu o nouă componentă bootloader care include mai multe metode pentru a evita detectarea, cum ar fi detectarea dacă rulează pe o mașină virtuală sau pe o mașină fizică și relocarea codului de instrucțiune [4] .

De la lansarea Locky, au fost lansate multe variante care folosesc diverse extensii pentru fișierele criptate. Multe dintre aceste extensii poartă numele zeilor din mitologia nordică și egipteană. La prima lansare, extensia folosită pentru fișierele criptate era .Locky. Alte versiuni foloseau extensiile .zepto, .odin, .shit, .thor, .aesir și .zzzzz pentru fișierele criptate. Versiunea actuală, lansată în decembrie 2016, folosește extensia .osiris pentru fișierele criptate [5] .

Distribuție

De la lansarea ransomware-ului, au fost folosite multe metode de distribuție diferite. Aceste metode de distribuție includ kituri de exploatare [6] , atașamente Word și Excel cu macrocomenzi rău intenționate [7] , atașamente DOCM [8] și atașamente JS [9] .

Criptare

Locky folosește RSA-2048 + AES-128 cu modul ECB pentru criptarea fișierelor. Cheile sunt generate pe partea serverului, ceea ce face imposibilă decriptarea manuală, iar Locky Ransomware poate cripta fișierele de pe toate hard disk-urile, unitățile amovibile, unitățile de rețea și unitățile RAM [10] .

Prevalență

Începând cu 16 februarie 2016, Locky a fost trimis la aproximativ jumătate de milion de utilizatori și imediat după ce atacatorii și-au mărit distribuția către milioane de utilizatori. În ciuda versiunii mai noi, datele Google Trend arată că infecțiile s-au oprit în jurul lunii iunie 2016 [11] .

Incidente notabile

Pe 18 februarie 2016, Hollywood Presbyterian Medical Center a plătit o răscumpărare de 17.000 USD în bitcoin pentru o cheie de decriptare a datelor pacientului [12] .

În aprilie 2016, computerele de la Dartford College of Science and Technology au fost infectate cu un virus. Elevul a deschis e-mailul infectat, care s-a răspândit rapid și a criptat multe dintre fișierele școlii. Virusul a rămas pe computer câteva săptămâni. În cele din urmă, au reușit să elimine virusul utilizând System Restore pentru toate computerele.

Microsoft a reușit să capteze șase milioane de nume de domenii utilizate de botnetul Necurs [ 13] .

Un exemplu de mesaj infectat

Dragă (nume aleatoriu):

Vă rugăm să găsiți în anexă factura noastră pentru serviciile prestate și plățile suplimentare în problema menționată mai sus.

Sperând ca cele de mai sus să vă satisfacă, rămânem

Cu sinceritate,

(nume aleatoriu)

(titlu aleatoriu)

Note

↑ Sean Gallagher. Cripto-ransomware-ul „Locky” se îndreaptă spre macrocomanda document Word rău intenționată . Ars Technica (17 februarie 2016). Preluat la 18 decembrie 2019. Arhivat din original la 19 decembrie 2019.
↑ 1 2 "Locky" ransomware - ce trebuie să știți (ing.) . Naked Security (17 februarie 2016). Preluat la 18 decembrie 2019. Arhivat din original la 19 decembrie 2019.
↑ "Locky" ransomware - ce trebuie să știți . Naked Security (17 februarie 2016). Preluat la 18 decembrie 2019. Arhivat din original la 19 decembrie 2019.
↑ Google Traducere . translate.google.com. Preluat: 18 decembrie 2019. (nedefinit)
↑ Informații Locky Ransomware, Ghid de ajutor și Întrebări frecvente . BleepingComputer. Preluat la 18 decembrie 2019. Arhivat din original la 17 ianuarie 2020.
↑ Malware-Traffic-Analysis.net - 2016-12-23 - Afraidgate Rig-V de la 81.177.140.7 trimite varianta „Osiris” Locky . www.malware-traffic-analysis.net. Preluat la 18 decembrie 2019. Arhivat din original la 18 decembrie 2019. (nedefinit)
↑ Locky Ransomware trece la mitologia egipteană cu extensia Osiris . BleepingComputer. Preluat la 18 decembrie 2019. Arhivat din original la 19 noiembrie 2020.
↑ Locky Ransomware distribuit prin atașamente DOCM în cele mai recente campanii de e-mail . ochi de foc. Preluat la 18 decembrie 2019. Arhivat din original la 19 decembrie 2019.
↑ Locky Ransomware acum încorporat în Javascript . Cyren. Preluat la 18 decembrie 2019. Arhivat din original la 30 decembrie 2019.
↑ Ce este ransomware-ul Locky? (engleză) . Ce este Locky Ransomware?. Preluat la 18 decembrie 2019. Arhivat din original la 19 decembrie 2019.
↑ Google Trends . Trenduri Google. Preluat la 18 decembrie 2019. Arhivat din original la 10 februarie 2017. (Rusă)
↑ Spitalul de la Hollywood plătește 17.000 USD în bitcoin hackerilor; FBI investighează . Los Angeles Times (18 februarie 2016). Preluat la 18 decembrie 2019. Arhivat din original la 23 decembrie 2019.
↑ Microsoft a lansat un atac asupra botnetului Necurs . Preluat la 21 martie 2020. Arhivat din original la 21 martie 2020. (nedefinit)

Atacurile hackerilor din anii 2010
Cele mai mari atacuri	Atacurile cibernetice în Australia (2010) Operațiunea Digi Notar Operațiunea Hacking și închidere PlayStation Network Operațiune ceață de gheață Operațiunea Octombrie Roșu e-mail Hack pe LinkedIn (2012) Atacul cibernetic asupra Coreei de Sud (2013) snapchat operaționale Hack de cont iCloud în masă Hackerea serverelor Sony Pictures Entertainment Atacul cibernetic asupra Comitetului Național Democrat al SUA Atacul cibernetic asupra Dyn Atacul cibernetic asupra Palatului Westminster Atacul ransomware WannaCry Atacurile hackerilor asupra Ucrainei (2017)
Grupuri și comunități de hackeri	Internațional anonim Anonim cyberkut Divizia 121 Ursul confortabil Derp GNAA urs fantezie Goatse Security Lizard Squad LulzRaft LulzSec NullCrew Divizia 61398 Hack rosu Armata Electronică Siriană Armata electronică din Yemen Armata electronică a Iranului TeaMp0ison Operațiuni de UGNazi
hackeri singuratici	Jeremy Hammond George Hotz Guccifer Guccifer Sabu Topiary The Jester weev
Au detectat vulnerabilități critice	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Vaca murdară (Linux, 2016) EternalBlue ( SMBv1 , 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorn (2017) Meltdown (2018) Spectre (2018) Blue Keep (2019)
Virușii informatici	Aprox iepure rău BASHLIT Bredolab Carbanak carberp Careto carna Cetate CryptoLocker Cutwail Dexter donbot Dridex duqu EternalRocks FinFisher flacără Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Letic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye stele Stuxnet TDL-4 Virut Vulcanbot Vreau să plâng Acces zero catalog ANT
anii 2000 • anii 2010 • anii 2020