Locky er en netværksorm og ransomware , der angriber Microsoft Windows- og Mac OS -operativsystemer . Det gik viralt i 2016. Det distribueres via e-mail (under dække af en faktura, der kræver betaling) med et vedhæftet Microsoft Word-dokument indeholdende ondsindede makroer [1] . Det er en krypteringstrojan , der krypterer filer på inficerede computere. Som et resultat forsøger ransomware at indsamle løsepenge til dekryptering fra brugere af inficerede computere.
Infektionsmekanismen er at modtage en e-mail med et vedhæftet Microsoft Word-dokument, der indeholder skadelig kode. Når den åbnes, beder filen brugeren om at aktivere makroer for at se dokumentet. Aktivering af makroer og åbning af et dokument starter Locky-virussen [2] . Efter at virussen er lanceret, indlæses den i brugerens systemhukommelse og krypterer dokumenter i form af hash.locky-filer. Oprindeligt blev kun filtypen .locky brugt til krypterede filer. Efterfølgende er andre filtypenavne blevet brugt, herunder .zepto, .odin, .aesir, .thor og .zzzzz. Når den er krypteret, instruerer en meddelelse (vises på brugerens skrivebord) dem om at downloade Tor-browseren og besøge et specifikt kriminelt websted for at få flere oplysninger. Hjemmesiden indeholder instruktioner, der kræver en udbetaling mellem 0,5 og 1 bitcoin (fra november 2017 varierer værdien af en bitcoin fra $9.000 til $10.000 gennem en bitcoin-udveksling). Fordi de kriminelle har den private nøgle, og fjernservere styres af dem, er ofrene motiverede til at betale for at få deres filer dekrypteret [2] [3] .
Den 22. juni 2016 udgav Necurs en ny version af Locky med en ny bootloader-komponent, der inkluderer flere metoder til at undgå registrering, såsom at detektere, om den kører på en virtuel maskine eller på en fysisk maskine og flytte instruktionskoden [4] .
Siden udgivelsen af Locky er der blevet frigivet mange varianter, der bruger forskellige udvidelser til krypterede filer. Mange af disse udvidelser er opkaldt efter guder fra nordisk og egyptisk mytologi. Da den første gang blev udgivet, var udvidelsen, der blev brugt til krypterede filer, .Locky. Andre versioner brugte .zepto, .odin, .shit, .thor, .aesir og .zzzzz udvidelser til krypterede filer. Den nuværende version, udgivet i december 2016, bruger .osiris-udvidelsen til krypterede filer [5] .
Siden udgivelsen af ransomware er der blevet brugt mange forskellige distributionsmetoder. Disse distributionsmetoder omfatter udnyttelsessæt [6] , Word- og Excel-vedhæftninger med ondsindede makroer [7] , DOCM-vedhæftede filer [8] og JS-vedhæftede filer [9] .
Locky bruger RSA-2048 + AES-128 med ECB-tilstand til filkryptering. Nøgler genereres på serversiden, hvilket gør manuel dekryptering umulig, og Locky Ransomware kan kryptere filer på alle harddiske, flytbare drev, netværksdrev og RAM-drev [10] .
Fra den 16. februar 2016 blev Locky angiveligt sendt ud til omkring en halv million brugere, og lige efter øgede angriberne deres distribution til millioner af brugere. På trods af den nyere version viser Google Trend-data, at infektionerne stoppede omkring juni 2016 [11] .
Den 18. februar 2016 betalte Hollywood Presbyterian Medical Center en løsesum på $17.000 i bitcoin for en patientdata-dekrypteringsnøgle [12] .
I april 2016 blev computere på Dartford College of Science and Technology inficeret med en virus. Eleven åbnede den inficerede e-mail, som hurtigt spredte sig og krypterede mange af skolens filer. Virussen forblev på computeren i flere uger. Det lykkedes dem til sidst at fjerne virussen ved hjælp af Systemgendannelse til alle computere.
Microsoft formåede at fange seks millioner domænenavne brugt af Necurs botnet [ 13] .
Kære (tilfældigt navn):
Se venligst vores vedhæftede faktura for ydede ydelser og yderligere udlæg i ovennævnte sag.
Vi håber, at ovenstående er til din tilfredshed
oprigtigt,
(tilfældigt navn)
(tilfældig titel)