Locky adalah nama Ransomware yang telah berevolusi akhir-akhir ini, berkat peningkatan algoritma yang konstan oleh pengarangnya. Locky, seperti yang disarankan oleh namanya, mengganti nama semua file penting pada PC yang terinfeksi memberi mereka ekstensi .locky dan menuntut tebusan untuk kunci dekripsi.
Locky ransomware - Evolusi
Ransomware telah tumbuh pada tingkat yang mengkhawatirkan pada tahun 2016. Ini menggunakan Email & Rekayasa Sosial untuk memasuki sistem komputer Anda. Sebagian besar email dengan dokumen berbahaya terlampir menampilkan strain ransomware populer, Locky. Di antara miliaran pesan yang menggunakan lampiran dokumen berbahaya, sekitar 97% menampilkan ransomware Locky, yang merupakan peningkatan 64% yang mengkhawatirkan dari Q1 2016 saat pertama kali ditemukan.
Itu Locky ransomware pertama kali terdeteksi pada Februari 2016 dan dilaporkan dikirim ke setengah juta pengguna. Locky menjadi pusat perhatian ketika pada bulan Februari tahun ini, Pusat Medis Presbiterian Hollywood membayar $ 17.000 tebusan Bitcoin untuk kunci dekripsi untuk data pasien. Data Rumah Sakit yang terinfeksi Locky melalui lampiran email yang disamarkan sebagai faktur Microsoft Word.
Sejak Februari, Locky telah bertukar ekstensi dalam upaya untuk menipu korban bahwa mereka telah terinfeksi oleh Ransomware yang berbeda. Locky mulai awalnya mengganti nama file yang dienkripsi .locky dan pada saat musim panas tiba, ia berevolusi menjadi .zepto ekstensi, yang telah digunakan dalam beberapa kampanye sejak.
Terakhir terdengar, Locky sekarang mengenkripsi file dengan .ODIN ekstensi, mencoba membingungkan pengguna yang sebenarnya adalah ransomware Odin.
Locky Ransomware
Locky ransomware terutama menyebar melalui kampanye email spam yang dijalankan oleh penyerang. Sebagian besar email spam ini .doc file sebagai lampiran yang berisi teks acak yang muncul menjadi makro.
Email umum yang digunakan dalam distribusi ransomware Locky mungkin berupa faktur yang menarik perhatian sebagian besar pengguna, Misalnya,
Email subject could be – “ATTN: Invoice P-12345678”, infected attachment – “invoice_P-12345678.doc” (contains Macros that download and install Locky ransomware on computers):”
And Email body – “Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!”
Setelah pengguna mengaktifkan pengaturan makro dalam program Word, file eksekusi yang sebenarnya adalah ransomware yang diunduh di PC. Setelah itu, berbagai file di PC korban dienkripsi oleh ransomware yang memberi mereka 16 nama kombinasi huruf-digit yang unik .kotoran, .thor, .locky, .zepto atau .odin ekstensi file. Semua file dienkripsi menggunakan RSA-2048 dan AES-1024 algoritma dan memerlukan kunci pribadi yang disimpan di server jauh yang dikendalikan oleh penjahat cyber untuk dekripsi.
Setelah file dienkripsi, Locky menghasilkan tambahan .txt dan _HELP_instructions.html file di setiap folder yang berisi file yang dienkripsi. File teks ini berisi pesan (seperti yang ditunjukkan di bawah) yang memberi tahu pengguna tentang enkripsi.
Locky Ransomware berubah dari ekstensi.wsf menjadi.LNK
Posting evolusinya tahun ini di bulan Februari; Infeksi ransomware Locky secara bertahap menurun dengan deteksi yang lebih rendah Nemucod, yang Locky gunakan untuk menginfeksi komputer. (Nemucod adalah file.wsf yang terkandung dalam lampiran.zip dalam email spam). Namun, seperti laporan Microsoft, penulis Locky telah mengubah lampiran dari .wsf file untuk file shortcut (.LNK ekstensi) yang berisi perintah PowerShell untuk mengunduh dan menjalankan Locky.
Contoh dari email spam di bawah ini menunjukkan bahwa itu dibuat untuk menarik perhatian langsung dari para pengguna. Ini dikirim dengan sangat penting dan dengan karakter acak di baris subjek. Isi email itu kosong.
Email spam biasanya diberi nama ketika Bill tiba dengan lampiran.zip, yang berisi file.LNK. Dalam membuka lampiran.zip, pengguna memicu rantai infeksi. Ancaman ini terdeteksi sebagai TrojanDownloader: PowerShell / Ploprolo.A. Ketika skrip PowerShell berhasil berjalan, ia mengunduh dan mengeksekusi Locky dalam folder sementara yang melengkapi rantai infeksi.
Jenis file yang ditargetkan oleh Locky Ransomware
Di bawah ini adalah jenis file yang ditargetkan oleh Locky ransomware.
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Bagaimana cara mencegah serangan Locky Ransomware
Locky adalah virus berbahaya yang memiliki ancaman serius terhadap PC Anda. Disarankan agar Anda mengikuti petunjuk ini untuk mencegah ransomware dan menghindari terinfeksi.
- Selalu miliki perangkat lunak anti-malware dan perangkat lunak anti-ransomware yang melindungi PC Anda dan perbarui secara teratur.
- Perbarui OS Windows Anda dan perangkat lunak lainnya yang terbaru untuk mengurangi kemungkinan eksploitasi perangkat lunak.
- Cadangkan file penting Anda secara teratur. Ini adalah pilihan yang baik untuk menyimpannya secara offline daripada di penyimpanan cloud karena virus dapat mencapai sana juga
- Nonaktifkan pemuatan Macro di program Office. Membuka file dokumen Word yang terinfeksi dapat terbukti berisiko!
- Jangan membuka email secara membabi buta di bagian email ‘Spam’ atau ‘Sampah’. Ini dapat menipu Anda agar membuka email yang berisi perangkat lunak perusak. Pikirkan sebelum mengeklik tautan web di situs web atau email atau mengunduh lampiran email dari pengirim yang tidak Anda ketahui. Jangan klik atau buka lampiran seperti itu:
- File dengan ekstensi.LNK
- File dengan ekstensi.wsf
- File dengan ekstensi titik ganda (misalnya, profil-p29d..wsf).
Baca baca: Apa yang harus dilakukan setelah serangan Ransomware di komputer Windows Anda?
Cara mendekripsi Locky Ransomware
Sampai sekarang, tidak ada decrypters tersedia untuk ransomware Locky. Namun, Decryptor dari Emsisoft dapat digunakan untuk mendekripsi file yang dienkripsi oleh AutoLocky, ransomware lain yang juga mengganti nama file ke ekstensi.locky. AutoLocky menggunakan bahasa scripting AutoI dan mencoba untuk meniru ransomware Locky yang rumit dan canggih. Anda dapat melihat daftar lengkap alat dekripsi ransomware yang tersedia di sini.
Sumber & Kredit: Microsoft | BleepingComputer | PCRisk.
