Co je Locky Ransomware a jak se proti němu chránit?
Locky ransomware byl poprvé objeven v lednu 2016. Od té doby se rozrostl do rodiny ransomwarových systémů
Zatímco původní Locky již není aktivní, varianty jsou stále k dispozici. Neexistuje také žádná záruka, že se původní Locky nevrátí. Existuje tedy každý důvod zkoumat tento malware a jeho varianty a instalovat ochranná opatření, aby se zabránilo jeho proniknutí do vašeho systému.
Útoky na rodinu ransomwaru Locky Okna systémy. Útočné kampaně prováděné s ransomwarem Locky jsou oportunistické a nejsou cílené. Kód pro virus je připojen k spamové e-maily které jsou rozesílány na seznamy stovek tisíc e-mailových adres najednou.
Strategie je hra s čísly. Procento příjemců bude zajímat obecný text e-mailu a procento těchto lidí otevře přílohu. Podskupina tohoto čísla aktivuje makra které načítají Locky ransomware.
Cíle ransomwaru Locky
Ačkoli Lockyho vstupní strategie skončila hromadné mailouty , je možné přizpůsobit toto cílové pole získáním seznamů e-mailů v konkrétních odvětvích. The Zdravotnický sektor byl pro Lockyho masivním cílem. The Telecom a Přeprava sektory jsou další největší cíle.
Cílení na podniky je výnosnější než útoky na soukromé osoby. Velké organizace mají více peněz nazbyt než jednotlivci a také mohou více ztratit. Zatímco mnoho ransomwaru si účtuje za nápravu kolem 500 USD, Lockyho výkupné se obvykle pohybovalo mezi 4 500 až 10 000 USD, zaplaceno v bitcoin . To není příliš vysoký konec požadavků na výkupné; některý ransomware požaduje částky v milionech dolarů.
Botnet Necurs
Většina e-mailových systémů nyní platí spamové filtry automaticky. Jedná se o blacklistové systémy, které zaznamenávají velké objemy pošty z jedné domény nebo e-mailové adresy. Spamové filtry přesměrovávají identifikované e-maily do složky Spam/Nevyžádaná pošta nebo přímo blokují stahování těchto e-mailů do klienta.
Tvůrci Locky tento problém obešli tvorbou botnet . Volá se jak skupina hackerů, tak botnet Necurs . Botnet je několik soukromých počítačů, které byly infikovány virem. Každé zařízení v botnetu se nazývá „ zombie .“ Virus pravidelně otevírá spojení s „ velení a ovládání “server ( C&C ), který jim dává pokyny, co mají dělat.
Necurs používá svůj botnet k rozesílání e-mailů. V botnetu jsou miliony počítačů. Tyto počítače mohou být velké, podnikové servery, a tak má Necurs velkou kapacitu. Spamové filtry černá listina zdrojové IP adresy a názvy domén, které odesílají velké množství e-mailů. Tím, že se Necurs rozesílá e-maily, se tomuto filtru vyhýbá. Zdrojové domény uvedené v těchto e-mailech jsou obvykle falešné – nepotřebují příjemce, aby odpověděli, stačí otevřít přílohu.
Jak Locky ransomware funguje?
Stejný spamový e-mail, který se týká nezaplacené faktury, je rozesílán stovkám tisíc příjemců. Email má dokument aplikace Word jako přílohu a zpráva e-mailu vybízí příjemce, aby ji otevřel. Obsah dokumentu je nesrozumitelný – jen změť znaků. Vyskakovací okno vysvětluje, že dokument byl zašifrován a že stisknutím tlačítka ve vyskakovacím okně jej dekódujete.
Tlačítko ve vyskakovacím okně dokumentu aktivuje makra v souboru. Ty fungují jako downloader, který otevře připojení k serveru C&C a stáhne instalační program. Díky tomu má skupina Necurs na tomto počítači agenta. Zařízení může být použito jako součást botnetu nebo infikováno ransomwarem Locky.
Kód Locky se nezkopíruje jako soubor. Místo toho se načte přímo do Paměť . Instalační program pravidelně kontroluje běžící proces, a pokud jej nemůže najít, stáhne program a znovu jej spustí. To znamená, že program Locky nemusí být rezidentní v počítači, aby mohl fungovat. To porazí jednu ze standardních detekčních metod antimalware . Samotný instalační program však musí být uložen v počítači, aby bylo možné identifikovat indikátor. Instalační program také stáhne některé soubory .txt a .bmp pro použití při požadavku na výkupné.
Locky se nešíří. Prostě začne okamžitě šifrovat soubory v počítači, na kterém je nainstalován. Proces šifrování změní každý název souboru tak, aby měl ID tvořené 16 znaky a obsahoval jak čísla, tak písmena. Zašifrovaný soubor má jinou příponu. První verze Locky používala příponu .locky. Pozdější verze a varianty používaly následující rozšíření pro šifrované soubory:
- .zepto
- .odin
- .hovno
- .thor
- .aesir
- .zzzzzz
- .osiris
Poslední verze ransomwaru se objevila v prosinci 2016 pomocí .osiris rozšíření.
Locky požadavek na výkupné
Locky šifruje soubory dvěma šiframi. Tyto jsou AES šifrování pomocí 128bitového klíče a RSA šifrování pomocí 2048bitového klíče. Klíče jsou generovány na serveru Necurs a odesílány do malwaru Locky. Jsou také uloženy s referenčním kódem.
Šifrování ovlivňuje pouze datové soubory – soubory obsahující k identifikaci indikátoru text, obrázky, video nebo zvuk. Nešifruje spustitelný soubory. To je důležité, protože to znamená, že počítač můžete stále používat. Hackeři chtějí, abyste platili z tohoto počítače, takže jej nechtějí deaktivovat. Ransomware změní pozadí plochy infikovaného počítače, aby se zobrazilo požadavek na výkupné . Tato poznámka je také k dispozici v textovém souboru zkopírovaném do počítače.
Pokyny říkají oběti, aby si nainstalovala prohlížeč Tor a použila jej k přístupu na web Necurs. Poznámka také obsahuje jedinečné ID, které odkazuje na zásah a získává správný dešifrovací klíč, jakmile bude zaplaceno výkupné. Oběť musí zadat ID útoku a bitcoinový kód do formuláře na webu Necurs. Dešifrovač s vloženým dešifrovacím klíčem je pak odeslán e-mailem.
Některý ransomware, ať už prostřednictvím chatrného programování nebo záměrně, nepřinese metodu obnovy souborů. Naštěstí Locky ano. Ti, kteří zaplatí výkupné, mohou znovu získat přístup ke všem svým souborům.
Varianty ransomwaru Locky
Došlo k několika aktualizacím Locky, které změnily způsob fungování ransomwaru a lze je identifikovat podle různých přípon používaných pro šifrované soubory. Kromě programových změn provedených skupinou Necurs byly v oběhu dvě varianty, které Necurs nutně nevytvářel.
PowerLocky
PowerLocky je směsí dvou ransomwarových systémů: Locky a PowerWare . Tento vyděračský software založený na šifrování je distribuován tak, jak byl napsán spustitelný soubor .NET PowerShell . Požaduje výkupné ve výši 0,75 bitcoinu, což v době, kdy byl systém v červenci 2016 aktivní, mělo hodnotu 500 dolarů. Dnes se tato hodnota bitcoinu převádí na 29 600 $.
Stejně jako původní Locky mění PowerLocky názvy všech zašifrovaných souborů a umísťuje na ně příponu .locky. PowerLocky výkupné je přesnou kopií toho, co používá Locky.
Zamykání
Zamykání se objevil v srpnu 2017. Botnet Necurs také distribuoval tento kmen Locky jako přílohu hromadného e-mailu. “ Zamykání “ je finština pro “ zamykání .“ V kampani Lukitus byl přílohou archivní soubor .zip nebo .rar a infikující kód byl napsán v JavaScipt nebo VBScript .
Infikované soubory mají příponu .lukitus. Po dokončení úlohy šifrování je primární spustitelný soubor odstraněn.
Jak se chránit před Locky ransomwarem
Potěšující zprávou je, že díky úsilí právního týmu Microsoftu již Locky nepředstavuje významnou hrozbu. Microsoft vysledoval servery C&C a vyhrožoval jejich hostitelům právními kroky, což je přimělo odstranit tyto účty v březnu 2020. I když je malware botnetu Necurs stále umístěn na milionech počítačů, IP adresy do nich pevně zakódované pro dotazování pokynů již neexistují. V době, kdy se Microsoft vrhl do nože, měl Necurs kontrolu více než 9 milionů zombie počítače.
Navzdory této dobré zprávě nemůžete být s Necursem a Lockym spokojeni – mohli by se docela snadno vrátit.
Nejlepší obrana proti Lockymu je vzdělávat uživatele proti otevírání příloh v e-mailech od lidí, o kterých nikdy neslyšeli. Je také nezbytné ponechat si veškerý software úplně aktuální k vypnutí exploitů a ochraně vašeho systému před všemi typy malwaru. Měli byste také implementovat záložní strategie který zvládá a ukládá soubory z každého koncového bodu samostatně, aby se zabránilo křížové infekci.
Můžete si koupit a nainstalovat některé vynikající nástroje pro blokování Locky a všech ostatních značek ransomwaru. Zde jsou dva, které doporučujeme.
1. CrowdStrike Falcon Insight (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
CrowdStrike Falcon Insight je balíček nástrojů pro kybernetickou bezpečnost, který zahrnuje jak on-site, tak cloudové prvky. On-site část tohoto systému je program agenta, který je nainstalován na každém koncovém bodu. Jedná se o kompletní službu detekce a odezvy koncových bodů a CrowdStrike ji také prodává jako samostatný balíček s názvem Falcon Prevent .
Falcon Prevent je dostatečně komplexní, aby mohl nadále chránit zařízení, i když izolovaný od sítě a nemůže kontaktovat správce Insight v cloudu. Komunikace mezi Prevent a Insight nahrává zprávy o aktivitě a stahuje pokyny. Systém Insight analyzuje zprávy o činnosti podle nejnovějšího zpravodajství o hrozbách. Návrh hledá spíše anomální akce než konkrétní soubory. Toto je perfektní metoda detekce pro Locky, která nezahazuje spustitelný soubor na cílové zařízení. Agent koncového bodu také provádí tuto metodu detekce, takže Locky se do něj nedostane.
Sanační akce zahrnují izolaci zařízení od sítě, aby se infekce nemohly šířit. Systém může také nařídit vypnutí zařízení, vymazání a obnovení ze zálohy. Zatímco Locky se nespoléhá na uživatelské účty , jiný ransomware ano. Falcon Insight může pozastavit podezřelé uživatelské účty a zablokovat přístup k IP adresám a doménám na černé listině.
Falcon Insight je podporován CrowdStrike výzkumné laboratoře a záznamy událostí od ostatních zákazníků CrowdStrike. Koordinační systém Insight může předávat informace o hrozbách všem zařízením v síti, takže jakmile je zasažen jeden koncový bod, všechny ostatní jsou v pohotovosti.
Můžete získat a15denní bezplatná zkušební verzespolečnosti Falcon Prevent.
CrowdStrike Falcon Insight Start 15denní zkušební verze ZDARMA
dva. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus je systém ochrany citlivých dat. To je užitečné zejména pro ty podniky zapojené do sektoru zdravotnictví, který byl hlavním cílem Lockyho. Společnosti následující HIPAA je třeba zajistit, aby všechny údaje o pacientech byly přístupné pro vhodné použití a nebyly zveřejněny. Stejná pravidla platí pro PCI DSS a GDPR . Funkce protokolování akcí v balíčku jsou vhodné pro audit dodržování standardů.
DataSecurity Plus nejprve prohledá systém a zaznamená všechna umístění datových úložišť. Dokumentuje je a poté skenuje každý obchod a kategorizuje tam data. To službě umožňuje zaměřit ochranu na citlivá data. Monitor pak sleduje soubory obsahující tato data a zabraňuje jejich manipulaci. Systém také monitoruje e-maily a USB zařízení aby se zabránilo pronikání virů a úniku dat ven.
Systém ochrany souborů se nazývá a Monitor integrity souborů ( KONEC ). To vyvolá výstrahu, když dojde k neoprávněné změně ve sledovaném souboru. Takže první pokus o šifrování od Lockyho by vyvolal upozornění.
Systém lze nastavit tak, aby automaticky prováděl nápravná opatření. Příklady těchto pracovních postupů jsou vypnutí infikovaného koncového bodu, obnovení souborů ze zálohování, zabíjení procesů a pozastavení uživatelských účtů.
Tento software se nainstaluje na Windows Server a chrání počítače s operačním systémem Windows – cíle pro Locky.
ManageEngine DataSecurity Plus je k dispozici pro a 30denní bezplatná zkušební verze .