Locky Ransomware est mortel! Voici tout ce que vous devriez savoir sur ce virus.

Locky est le nom d`un Ransomware qui a évolué en retard, grâce à la mise à jour constante de l`algorithme par ses auteurs. Locky, comme son nom l`indique, renomme tous les fichiers importants sur le PC infecté en leur donnant une extension.locky et demande une rançon pour les clés de décryptage.

Locky ransomware - Evolution

Ransomware a grandi à un rythme alarmant en 2016. Il utilise Email & Social Engineering pour entrer dans vos systèmes informatiques. La plupart des courriels contenant des documents malveillants présentaient la populaire lignée de ransomware Locky. Parmi les milliards de messages utilisant des pièces jointes malveillantes, environ 97% contenaient Locky ransomware, soit une augmentation alarmante de 64% par rapport au premier trimestre 2016.

Le Locky ransomware a été détecté pour la première fois Février 2016 et aurait été envoyé à un demi-million d`utilisateurs. Locky est entré en scène quand en Février de cette année, le Hollywood Presbyterian Medical Center a payé une rançon Bitcoin de 17 000 $ pour la clé de déchiffrement pour les données des patients. Locky a infecté les données de l`hôpital par le biais d`une pièce jointe d`email déguisée en facture Microsoft Word.

Depuis février, Locky enchaîne ses extensions afin de tromper les victimes qui ont été infectées par un Ransomware différent. Locky a commencé par renommer les fichiers cryptés en .locky et au moment où l`été est arrivé, il a évolué vers l`extension .zepto , qui a été utilisée dans plusieurs campagnes depuis.

Dernière écoute, Locky crypte maintenant des fichiers avec l`extension .ODIN , en essayant de confondre les utilisateurs qu`il est en fait le rançongiciel Odin

Locky Ransomware

Locky ransomware se propage principalement par des campagnes de courriels spam par les attaquants. Ces e-mails contiennent principalement des fichiers.doc en tant que pièces jointes contenant du texte brouillé apparaissant comme des macros

Un e-mail typique utilisé dans Locky ransomware peut être une facture qui attire l`attention de l`utilisateur.

Le sujet du courriel pourrait être - "ATTN: Facture P-12345678", pièce jointe infectée - " invoice_P-12345678.doc " (contient des macros qui téléchargent et installent Locky ransomware sur les ordinateurs): "

Et le corps de l`email -" Cher quelqu`un, S`il vous plaît voir la facture ci-jointe (document Microsoft Word) et verser le paiement selon les termes énumérés au bas de la facture. Faites-nous savoir si vous avez des questions. Nous apprécions énormément votre activité! "

Une fois que l`utilisateur a activé les paramètres de macro dans le programme Word, un fichier exécutable qui est en fait le rançongiciel est téléchargé sur le PC. Par la suite, divers fichiers sur le PC de la victime sont cryptés par le ransomware en leur donnant des noms de combinaison de 16 lettres avec .shit , .thor , .locky , .zepto ou .odin extensions de fichiers. Tous les fichiers sont cryptés à l`aide des algorithmes RSA-2048 et AES-1024 et nécessitent une clé privée stockée sur les serveurs distants contrôlés par les cybercriminels pour le déchiffrement.

Une fois les fichiers sont cryptées, Locky génère un fichier supplémentaire .txt et _HELP_instructions.html dans chaque dossier contenant les fichiers cryptés. Ce fichier texte contient un message (comme indiqué ci-dessous) qui informe les utilisateurs du cryptage.

Il indique en outre que les fichiers ne peuvent être décryptés qu`à l`aide d`un décrypteur développé par les cybercriminels et coûtant.5 BitCoin. Par conséquent, pour récupérer les fichiers, la victime est invitée à installer le navigateur Tor et à suivre un lien fourni dans les fichiers texte / fond d`écran. Le site Web contient des instructions pour effectuer le paiement.

Il n`y a aucune garantie que même après avoir effectué le paiement, les fichiers victimes seront déchiffrés. Mais habituellement, pour protéger sa réputation, les auteurs de rançongiciels respectent généralement leur part du marché.

Locky Ransomware passant de.wsf à.LNK extension

Poster son évolution cette année en Février; Locky ransomware infections ont progressivement diminué avec moins de détections Nemucod , que Locky utilise pour infecter les ordinateurs. (Nemucod est un fichier.wsf contenu dans les pièces jointes.zip dans les spams). Cependant, comme le rapporte Microsoft, les auteurs Locky ont changé la pièce jointe .wsf files en fichiers raccourcis (extension LNK) qui contiennent des commandes PowerShell pour télécharger et exécuter Locky.

An l`exemple de l`email de spam ci-dessous montre qu`il est fait pour attirer l`attention immédiate des utilisateurs. Il est envoyé avec une grande importance et avec des caractères aléatoires dans la ligne d`objet. Le corps de l`e-mail est vide.

Les e-mails de spam sont généralement nommés lorsque Bill arrive avec une pièce jointe.zip, qui contient les fichiers.LNK. En ouvrant la pièce jointe.zip, les utilisateurs déclenchent la chaîne d`infection. Cette menace est détectée comme TrojanDownloader: PowerShell / Ploprolo.A . Lorsque le script PowerShell s`exécute correctement, il télécharge et exécute Locky dans un dossier temporaire complétant la chaîne d`infection

Types de fichiers ciblés par Locky Ransomware

Voici les types de fichiers ciblés par Locky ransomware.

.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.banque,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.acc,.accd,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q vache,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arque,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,. accdb,.7zip,.xls,.wab, ​​.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (copie de sécurité),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

Comment prévenir Locky Ransomware attaque

Locky est un virus dangereux qui possède une menace grave pour votre PC. Il est recommandé de suivre ces instructions pour éviter les ransomwares et éviter d`être infecté.

1. Ayez toujours un logiciel anti-malware et un logiciel anti-ransomware pour protéger votre PC et le mettre à jour régulièrement.
2. Mettez à jour votre système d`exploitation Windows et le reste de votre logiciel à jour pour limiter les exploits logiciels possibles.
3. Sauvegardez régulièrement vos fichiers importants. c`est une bonne option de les enregistrer hors ligne que sur un stockage dans le cloud puisque le virus peut y arriver aussi
4. Désactiver le chargement des macros dans les programmes Office. Ouvrir un document Word infecté peut s`avérer risqué!
5. n`ouvrez pas aveuglément le courrier dans les sections "Spam" ou "Courrier indésirable". Cela pourrait vous amener à ouvrir un email contenant le malware. Réfléchissez avant de cliquer sur des liens Web sur des sites Web ou des courriels ou de télécharger des pièces jointes provenant d`expéditeurs que vous ne connaissez pas. Ne cliquez pas sur ces pièces jointes et ne les ouvrez pas:
1. Fichiers avec extension.LNK
2. Fichiers avec extension.wsf
3. Fichiers avec extension double point (par exemple, profile-p29d … wsf).

Lire : Que faire après une attaque Ransomware sur votre ordinateur Windows?

Comment décrypter Locky Ransomware

A partir de maintenant, il n`y a pas de déchiffreurs disponibles pour Locky ransomware. Cependant, un déchiffreur d`Emsisoft peut être utilisé pour décrypter des fichiers chiffrés par AutoLocky , un autre rançongiciel qui renomme également les fichiers en extension.locky. AutoLocky utilise le langage de script AutoI et tente d`imiter le ransomware Locky complexe et sophistiqué. Vous pouvez voir la liste complète des outils de décryptage ransomware disponibles ici

Sources & Credits : Microsoft | BleepingComputer | PCRisk.