Locky

Locky er en netværksorm og ransomware , der angriber Microsoft Windows- og Mac OS -operativsystemer . Det gik viralt i 2016. Det distribueres via e-mail (under dække af en faktura, der kræver betaling) med et vedhæftet Microsoft Word-dokument indeholdende ondsindede makroer [1] . Det er en krypteringstrojan , der krypterer filer på inficerede computere. Som et resultat forsøger ransomware at indsamle løsepenge til dekryptering fra brugere af inficerede computere.

Angrebsmetode

Infektionsmekanismen er at modtage en e-mail med et vedhæftet Microsoft Word-dokument, der indeholder skadelig kode. Når den åbnes, beder filen brugeren om at aktivere makroer for at se dokumentet. Aktivering af makroer og åbning af et dokument starter Locky-virussen [2] . Efter at virussen er lanceret, indlæses den i brugerens systemhukommelse og krypterer dokumenter i form af hash.locky-filer. Oprindeligt blev kun filtypen .locky brugt til krypterede filer. Efterfølgende er andre filtypenavne blevet brugt, herunder .zepto, .odin, .aesir, .thor og .zzzzz. Når den er krypteret, instruerer en meddelelse (vises på brugerens skrivebord) dem om at downloade Tor-browseren og besøge et specifikt kriminelt websted for at få flere oplysninger. Hjemmesiden indeholder instruktioner, der kræver en udbetaling mellem 0,5 og 1 bitcoin (fra november 2017 varierer værdien af en bitcoin fra $9.000 til $10.000 gennem en bitcoin-udveksling). Fordi de kriminelle har den private nøgle, og fjernservere styres af dem, er ofrene motiverede til at betale for at få deres filer dekrypteret [2] [3] .

Opdateringer

Den 22. juni 2016 udgav Necurs en ny version af Locky med en ny bootloader-komponent, der inkluderer flere metoder til at undgå registrering, såsom at detektere, om den kører på en virtuel maskine eller på en fysisk maskine og flytte instruktionskoden [4] .

Siden udgivelsen af Locky er der blevet frigivet mange varianter, der bruger forskellige udvidelser til krypterede filer. Mange af disse udvidelser er opkaldt efter guder fra nordisk og egyptisk mytologi. Da den første gang blev udgivet, var udvidelsen, der blev brugt til krypterede filer, .Locky. Andre versioner brugte .zepto, .odin, .shit, .thor, .aesir og .zzzzz udvidelser til krypterede filer. Den nuværende version, udgivet i december 2016, bruger .osiris-udvidelsen til krypterede filer [5] .

Fordeling

Siden udgivelsen af ransomware er der blevet brugt mange forskellige distributionsmetoder. Disse distributionsmetoder omfatter udnyttelsessæt [6] , Word- og Excel-vedhæftninger med ondsindede makroer [7] , DOCM-vedhæftede filer [8] og JS-vedhæftede filer [9] .

Kryptering

Locky bruger RSA-2048 + AES-128 med ECB-tilstand til filkryptering. Nøgler genereres på serversiden, hvilket gør manuel dekryptering umulig, og Locky Ransomware kan kryptere filer på alle harddiske, flytbare drev, netværksdrev og RAM-drev [10] .

Prævalens

Fra den 16. februar 2016 blev Locky angiveligt sendt ud til omkring en halv million brugere, og lige efter øgede angriberne deres distribution til millioner af brugere. På trods af den nyere version viser Google Trend-data, at infektionerne stoppede omkring juni 2016 [11] .

Bemærkelsesværdige hændelser

Den 18. februar 2016 betalte Hollywood Presbyterian Medical Center en løsesum på $17.000 i bitcoin for en patientdata-dekrypteringsnøgle [12] .

I april 2016 blev computere på Dartford College of Science and Technology inficeret med en virus. Eleven åbnede den inficerede e-mail, som hurtigt spredte sig og krypterede mange af skolens filer. Virussen forblev på computeren i flere uger. Det lykkedes dem til sidst at fjerne virussen ved hjælp af Systemgendannelse til alle computere.

Microsoft formåede at fange seks millioner domænenavne brugt af Necurs botnet [ 13] .

Et eksempel på en inficeret besked

Kære (tilfældigt navn):

Se venligst vores vedhæftede faktura for ydede ydelser og yderligere udlæg i ovennævnte sag.

Vi håber, at ovenstående er til din tilfredshed

oprigtigt,

(tilfældigt navn)

(tilfældig titel)

Noter

↑ Sean Gallagher. "Locky" crypto-ransomware kører ind på ondsindet Word- dokumentmakro . Ars Technica (17. februar 2016). Hentet 18. december 2019. Arkiveret fra originalen 19. december 2019.
↑ 1 2 "Locky" ransomware - hvad du behøver at vide (eng.) . Nøgen Sikkerhed (17. februar 2016). Hentet 18. december 2019. Arkiveret fra originalen 19. december 2019.
↑ "Locky" ransomware - hvad du behøver at vide . Nøgen Sikkerhed (17. februar 2016). Hentet 18. december 2019. Arkiveret fra originalen 19. december 2019.
↑ Google Oversæt . translate.google.com. Hentet: 18. december 2019. (ubestemt)
↑ Locky Ransomware-oplysninger, hjælpevejledning og ofte stillede spørgsmål . Bleeping Computer. Hentet 18. december 2019. Arkiveret fra originalen 17. januar 2020.
↑ Malware-Traffic-Analysis.net - 2016-12-23 - Afraidgate Rig-V fra 81.177.140.7 sender "Osiris"-varianten Locky . www.malware-traffic-analysis.net. Hentet 18. december 2019. Arkiveret fra originalen 18. december 2019. (ubestemt)
↑ Locky Ransomware skifter til egyptisk mytologi med Osiris- udvidelsen . Bleeping Computer. Hentet 18. december 2019. Arkiveret fra originalen 19. november 2020.
↑ Locky Ransomware distribueret via DOCM-vedhæftede filer i seneste e-mail -kampagner . ildøje. Hentet 18. december 2019. Arkiveret fra originalen 19. december 2019.
↑ Locky Ransomware er nu indlejret i Javascript . Cyren. Hentet 18. december 2019. Arkiveret fra originalen 30. december 2019.
↑ Hvad er Locky ransomware? (engelsk) . Hvad er Locky Ransomware?. Hentet 18. december 2019. Arkiveret fra originalen 19. december 2019.
↑ Google Trends . Google Trends. Hentet 18. december 2019. Arkiveret fra originalen 10. februar 2017. (Russisk)
↑ Hollywood hospital betaler $17.000 i bitcoin til hackere; FBI efterforsker . Los Angeles Times (18. februar 2016). Hentet 18. december 2019. Arkiveret fra originalen 23. december 2019.
↑ Microsoft lancerede et angreb på Necurs botnet . Hentet 21. marts 2020. Arkiveret fra originalen 21. marts 2020. (ubestemt)

Hackerangreb fra 2010'erne
Største angreb	Cyber angreb i Australien (2010) Operation Digi Notar Operation Hacking og nedlukning af PlayStation Network Operation iståge Operation Red October email LinkedIn hack (2012) Cyber angreb på Sydkorea (2013) snapchat Driftsvarer Masse hacking af iCloud-konto Hacking af Sony Pictures Entertainment-servere Cyberangreb på den amerikanske demokratiske nationale komité Cyberangreb på Dyn Cyberangreb på Palace of Westminster WannaCry ransomware angreb Hackerangreb på Ukraine (2017)
Grupper og fællesskaber af hackere	Anonym international Anonym cyberkut Division 121 Hyggelig bjørn Derp GNAA fantasibjørn Goatse Security Lizard Squad LulzRaft LulzSec NullCrew Afdeling 61398 RedHack Syrisk elektronisk hær Yemens elektroniske hær Irans elektroniske hær TeaMp0isoN adgangsoperationer UGNazi
enlige hackere	Jeremy Hammond George Hotz Guccifer Guccifer Sabu Topiary The Jester weev
Opdaget kritiske sårbarheder	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) PUDLE (SSL, 2014) Rootpipe (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty Cow (Linux, 2016) EternalBlue ( SMBv1 , 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorn (2017) Nedsmeltning (2018) Spectre (2018) Blue Keep (2019)
Computervirus	Asprox dårlig kanin BASHLIT Bredolab Carbanak carberp Careto carna Citadel CryptoLocker Cutwail Dexter donbot Dridex duqu EternalRocks FinFisher flamme Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye stjerner Stuxnet TDL-4 Virut Vulcanbot WannaCry Nul adgang ANT katalog
2000'erne • 2010'erne • 2020'erne