Locky'ego
| Skróty |
|
|---|---|
| Typ | trojański |
| Podtyp | Oprogramowanie wymuszające okup |
| Autorski) | Necury |
Locky to ransomware wypuszczone w 2016 roku. Jest dostarczane pocztą elektroniczną (czyli rzekomo fakturą wymagającą zapłaty) z dołączonym dokumentem Microsoft Word , który zawiera szkodliwe makra . Kiedy użytkownik otwiera dokument, wydaje się on pełen bełkotu i zawiera frazę „Włącz makro, jeśli kodowanie danych jest nieprawidłowe”, technikę inżynierii społecznej . Jeśli użytkownik włączy makra, zapisuje i uruchamia plik binarny, który pobiera rzeczywiste trojan szyfrujący, który zaszyfruje wszystkie pliki pasujące do określonych rozszerzeń. Nazwy plików są konwertowane na unikalną kombinację 16 liter i cyfr. Początkowo dla tych zaszyfrowanych plików używane było tylko rozszerzenie pliku .locky. Później używano innych rozszerzeń plików, w tym .zepto, .odin, .aesir, .thor i .zzzzz. Po zaszyfrowaniu komunikat (wyświetlany na pulpicie użytkownika) instruuje go, aby pobrał przeglądarkę Tor i odwiedził określoną witrynę internetową obsługiwaną przez przestępców w celu uzyskania dalszych informacji. Witryna internetowa zawiera instrukcje, które wymagają zapłaty od 0,5 do 1 bitcoina (od listopada 2017 r. jeden bitcoin ma wartość od 9 000 do 10 000 USD za pośrednictwem giełdy bitcoinów ). Ponieważ przestępcy posiadają klucz prywatny, a zdalne serwery są przez nich kontrolowane, ofiary są zmotywowane do zapłacenia za odszyfrowanie swoich plików.
Operacja
Najczęściej zgłaszany mechanizm infekcji polega na otrzymaniu wiadomości e-mail z załącznikiem dokumentu Microsoft Word, który zawiera kod. Dokument jest bełkotliwy i prosi użytkownika o włączenie makr w celu wyświetlenia dokumentu. Włączenie makr i otwarcie dokumentu uruchamia wirusa Locky. Po uruchomieniu wirus ładuje się do pamięci systemu użytkownika, szyfruje dokumenty jako pliki hash.locky, instaluje pliki .bmp i .txt oraz może szyfrować pliki sieciowe, do których użytkownik ma dostęp. Jest to inna droga niż w przypadku większości programów ransomware, ponieważ do rozprzestrzeniania się wykorzystuje makra i załączniki, a nie jest instalowany przez trojana lub wykorzystujący wcześniejszy exploit.
Aktualizacje
22 czerwca 2016 r. Firma Necurs wydała nową wersję Locky z nowym komponentem ładującym, który obejmuje kilka technik unikania wykrycia , takich jak wykrywanie, czy działa na maszynie wirtualnej , czy na maszynie fizycznej, oraz relokacja kodu instrukcji.
Od czasu wydania Locky wydano wiele wariantów, które wykorzystywały różne rozszerzenia dla zaszyfrowanych plików. Wiele z tych rozszerzeń nosi nazwy bogów z mitologii nordyckiej i egipskiej. Po pierwszym wydaniu rozszerzeniem używanym do zaszyfrowanych plików było .Locky. Inne wersje wykorzystywały rozszerzenia .zepto, .odin, .shit, .thor, .aesir i .zzzzz dla zaszyfrowanych plików. Obecna wersja, wydana w grudniu 2016 r., wykorzystuje rozszerzenie .osiris dla zaszyfrowanych plików.
Metody dystrybucji
Od czasu wypuszczenia oprogramowania ransomware zastosowano wiele różnych metod dystrybucji Locky'ego. Te metody dystrybucji obejmują zestawy exploitów, załączniki Word i Excel ze złośliwymi makrami, załączniki DOCM i spakowane załączniki JS.
Ogólny konsensus wśród ekspertów ds. bezpieczeństwa, aby chronić się przed oprogramowaniem ransomware, w tym Locky, polega na aktualizowaniu zainstalowanych programów i otwieraniu tylko załączników od znanych nadawców.
Szyfrowanie
Locky używa szyfru RSA-2048 + AES-128 z trybem ECB do szyfrowania plików. Klucze są generowane po stronie serwera, co uniemożliwia ręczne odszyfrowanie, a oprogramowanie ransomware Locky może szyfrować pliki na wszystkich dyskach stałych, dyskach wymiennych, dyskach sieciowych i dyskach RAM.
Rozpowszechnienie
Według doniesień Locky został wysłany do około pół miliona użytkowników 16 lutego 2016 r. I przez okres bezpośrednio po tym, jak osoby atakujące zwiększyły swoją dystrybucję do milionów użytkowników. Pomimo nowszej wersji dane Google Trend wskazują, że liczba infekcji spadła około czerwca 2016 r.
Godne uwagi incydenty
18 lutego 2016 r. Hollywood Presbyterian Medical Center zapłaciło 17 000 USD okupu w postaci bitcoinów za klucz odszyfrowywania danych pacjentów. Szpital został zainfekowany przez dostarczenie załącznika do wiadomości e-mail udającego fakturę programu Microsoft Word. Doprowadziło to do ogólnego wzrostu strachu i wiedzy na temat oprogramowania ransomware, a także ponownie zwróciło uwagę opinii publicznej na oprogramowanie ransomware. Wydaje się, że istnieje tendencja do wykorzystywania oprogramowania ransomware do atakowania szpitali i wydaje się, że tendencja ta rośnie.
31 maja Necurs przeszedł w stan uśpienia, być może z powodu usterki serwera C&C. [ potrzebne źródło ] [ oryginalne badania? ] Według Softpedii było mniej wiadomości spamowych z dołączonymi Locky lub Dridex . Jednak 22 czerwca MalwareTech odkrył, że boty Necurs konsekwentnie sondowały DGA , dopóki serwer C&C nie odpowiedział cyfrowo podpisanym odpowiedź. Oznaczało to, że Necurs nie był już uśpiony. Grupa cyberprzestępcza zaczęła również wysyłać bardzo dużą liczbę wiadomości spamowych z dołączonymi nowymi i ulepszonymi wersjami Locky i Dridex, a także nową wiadomość i spakowany kod JavaScript w wiadomościach e-mail.
W kwietniu 2016 roku komputery Dartford Science & Technology College zostały zainfekowane wirusem. Uczeń otworzył zainfekowaną wiadomość e-mail, która szybko rozprzestrzeniła się i zaszyfrowała wiele szkolnych plików. Wirus utrzymywał się na komputerze przez kilka tygodni. W końcu udało im się usunąć wirusa za pomocą Przywracania systemu dla wszystkich komputerów.
Wektor spamu e-mail
Przykładowa wiadomość z Locky jako załącznikiem jest następująca:
Drogi (losowe imię):
W załączeniu przesyłamy naszą fakturę za wykonane usługi i dodatkowe wydatki w w/w sprawie.
Mając nadzieję, że powyższe jest dla Państwa satysfakcjonujące, pozostajemy
Z poważaniem,
(losowa nazwa)
(losowy tytuł)