Locky

Locky je síťový červ a ransomware , který napadá operační systémy Microsoft Windows a Mac OS . V roce 2016 se stala virální. Je distribuován prostřednictvím e-mailu (pod rouškou faktury, která vyžaduje platbu) s připojeným dokumentem Microsoft Word obsahujícím škodlivá makra [1] . Je to šifrovací trojan , který šifruje soubory na infikovaných počítačích. Výsledkem je, že se ransomware pokouší vybrat výkupné za dešifrování od uživatelů infikovaných počítačů.

Způsob útoku

Mechanismus infekce spočívá v přijetí e-mailu s přiloženým dokumentem Microsoft Word obsahujícím škodlivý kód. Po otevření soubor vyzve uživatele, aby povolil makra pro zobrazení dokumentu. Povolením maker a otevřením dokumentu se spustí virus Locky [2] . Po spuštění se virus načte do systémové paměti uživatele a zašifruje dokumenty ve formě souborů hash.locky. Zpočátku se pro šifrované soubory používala pouze přípona .locky. Následně byly použity další přípony souborů, včetně .zepto, .odin, .aesir, .thor a .zzzzz. Po zašifrování se uživateli zobrazí zpráva (zobrazená na ploše) s pokynem, aby si stáhl prohlížeč Tor a navštívil konkrétní kriminální web pro více informací. Web obsahuje pokyny vyžadující výplatu mezi 0,5 a 1 bitcoinem (od listopadu 2017 se hodnota jednoho bitcoinu pohybuje od 9 000 do 10 000 USD prostřednictvím bitcoinové burzy). Protože zločinci mají soukromý klíč a vzdálené servery jsou jimi řízeny, oběti jsou motivovány zaplatit za dešifrování jejich souborů [2] [3] .

Aktualizace

června 2016 vydala společnost Necurs novou verzi Locky s novou komponentou zavaděče, která obsahuje několik metod, jak se vyhnout detekci, jako je detekce, zda běží na virtuálním počítači nebo na fyzickém počítači, a přemístění instrukčního kódu [4] .

Od vydání Locky bylo vydáno mnoho variant, které používají různá rozšíření pro šifrované soubory. Mnoho z těchto rozšíření je pojmenováno po bohech ze severské a egyptské mytologie. Při prvním vydání byla pro šifrované soubory použita přípona .Locky. Jiné verze používaly pro šifrované soubory přípony .zepto, .odin, .shit, .thor, .aesir a .zzzzz. Aktuální verze, vydaná v prosinci 2016, používá pro šifrované soubory příponu .osiris [5] .

Distribuce

Od vydání ransomwaru bylo použito mnoho různých způsobů distribuce. Tyto způsoby distribuce zahrnují exploit kity [6] , přílohy Wordu a Excelu se škodlivými makry [7] , přílohy DOCM [8]  a přílohy JS [9] .

Šifrování

Locky používá pro šifrování souborů RSA-2048 + AES-128 s režimem ECB. Klíče jsou generovány na straně serveru, což znemožňuje ruční dešifrování, a Locky Ransomware dokáže šifrovat soubory na všech pevných discích, vyměnitelných discích, síťových discích a discích RAM [10] .

Prevalence

K 16. únoru 2016 byl Locky údajně rozeslán zhruba půl milionu uživatelů a hned poté, co útočníci zvýšili jejich distribuci na miliony uživatelů. Navzdory novější verzi data Google Trend ukazují, že infekce se zastavily kolem června 2016 [11] .

Pozoruhodné incidenty

18. února 2016 zaplatilo Hollywood Presbyterian Medical Center výkupné ve výši 17 000 USD v bitcoinech za klíč pro dešifrování dat pacientů [12] .

V dubnu 2016 byly počítače na Dartford College of Science and Technology infikovány virem. Student otevřel infikovaný e-mail, který se rychle rozšířil a zašifroval mnoho školních souborů. Virus zůstal v počítači několik týdnů. Nakonec se jim podařilo virus odstranit pomocí nástroje Obnovení systému pro všechny počítače.

Microsoftu se podařilo zachytit šest milionů doménových jmen používaných botnetem Necurs [ 13 ] .

Příklad infikované zprávy

Vážený (náhodné jméno):

Ve výše uvedené záležitosti naleznete naši přiloženou fakturu za poskytnuté služby a dodatečné platby.

Doufáme, že výše uvedené k vaší spokojenosti, zůstáváme

S pozdravem,

(náhodný název)

(náhodný název)

Poznámky

1. ↑ Sean Gallagher. „Locky“ krypto-ransomware naráží na škodlivé  makro dokumentu aplikace Word . Ars Technica (17. února 2016). Získáno 18. prosince 2019. Archivováno z originálu 19. prosince 2019.
2. ↑ 1 2 "Locky" ransomware - co potřebujete vědět  (anglicky) . Nahá bezpečnost (17. února 2016). Získáno 18. prosince 2019. Archivováno z originálu 19. prosince 2019.
3. ↑ Ransomware „Locky“ – co potřebujete  vědět . Nahá bezpečnost (17. února 2016). Získáno 18. prosince 2019. Archivováno z originálu 19. prosince 2019.
4. ↑ Překladač Google . translate.google.com. Staženo: 18. prosince 2019. (neurčitý)
5. ↑ Locky Ransomware Information, Help Guide a  FAQ . BleepingComputer. Získáno 18. prosince 2019. Archivováno z originálu 17. ledna 2020.
6. ↑ Malware-Traffic-Analysis.net - 2016-12-23 - Afraidgate Rig-V z 81.177.140.7 posílá "Osiris" variantu Locky . www.malware-traffic-analysis.net. Staženo 18. prosince 2019. Archivováno z originálu 18. prosince 2019. (neurčitý)
7. ↑ Locky Ransomware přechází do egyptské mytologie s  rozšířením Osiris . BleepingComputer. Získáno 18. prosince 2019. Archivováno z originálu dne 19. listopadu 2020.
8. ↑ Locky Ransomware distribuovaný prostřednictvím příloh DOCM v nejnovějších e-mailových  kampaních . ohnivé oko. Získáno 18. prosince 2019. Archivováno z originálu 19. prosince 2019.
9. ↑ Locky Ransomware nyní vložený do  Javascriptu . Cyren. Získáno 18. prosince 2019. Archivováno z originálu 30. prosince 2019.
10. ↑ Co je Locky ransomware?  (anglicky) . Co je Locky Ransomware?. Získáno 18. prosince 2019. Archivováno z originálu 19. prosince 2019.
11. ↑ Google Trends . Google Trends. Získáno 18. prosince 2019. Archivováno z originálu 10. února 2017. (Ruština)
12. ↑ Hollywoodská nemocnice platí 17 000 dolarů v bitcoinech hackerům;  FBI vyšetřuje . Los Angeles Times (18. února 2016). Staženo 18. prosince 2019. Archivováno z originálu dne 23. prosince 2019.
13. ↑ Microsoft zahájil útok na botnet Necurs . Získáno 21. března 2020. Archivováno z originálu dne 21. března 2020. (neurčitý)