De recente iteratie van Locky ransomware is hier. Bestanden worden met een nieuwe extensie versleuteld – .shit, het is maar mogelijk dat ook andere extensies verschijnen. Het crypto-virus maakt nu gebruik van HTML-bestanden (.hta) en laat Command and Control (C&C) servers hun payload-bestand leveren. Om te zien hoe je ransomware te verwijderen en hoe u kunt proberen om de gegevens te herstellen, lees het artikel aandachtig door.
Overzicht bedreiging
Naam |
Locky Ransomware |
Type | Ransomware, Cryptovirus |
Korte omschrijving | De ransomware encrypteert uw bestanden en toont dan een ransom bericht met aanwijzingen voor betaling. |
Symptomen | Versleutelde bestanden hebben .shit extensies. |
Verspreidingswijze | Spam Emails, C&C Servers, HTML bestanden als .hta |
Detectietool |
Controleer of je systeem door Zepto Locky Ransomware is aangetast Downloaden
Malware Remover
|
Gebruikerservaring | Treedt tot onze Forum toe om te discuteren: Locky Ransomware. |
Locky Ransomware – Verspreiding
De laatste versie van Locky ransomware herstelt het gebruik van Command and Control servers als verspreidingsmethode. De servers geven hun laatst payload aan het crypto-virus. Het payload bestand wordt gezien in twee formaten – als HTML bestand of als JScript downloader. Zij hebben, respectievelijk, deze extensies – .hta and .wsf / .js. Deze bestanden kunnen binnen een .zip bestand geplaatst worden om moeilijker door een beveiligingsprogramma te worden opgespoord. U kunt de opsporing van een zulk bestand, niet verduisterd in een archief, op de VirusTotal website zien:
De meesten payload bestanden hebben de naam Receipt met gerandomiseerde nummers daarna, dus het lijkt als rechtmatige kwitantie of factuur. U kunt bekijken hoe de tekst van een zulk e-mail uitziet:
From: Free Haut Debit
Date: Mon, 24 Oct 2016
Subject: [Free] Notification de facture Freebox (95854808)Bonjour,
Vous trouverez en piece jointe votre facture Free Haut Debit.
Le total de votre facture est de 75.09 Euros.
Nous vous remercions de votre confiance.
L’equipe FreeAttachment: Facture_Free_201610_6292582_95854808.zip
Van: Free Haut Debit
Datum: Mon, 24 Oct 2016
Ontwerp: [Free] Invoice notification (Kennisgeving factuur) Freebox (95854808)
Hallo,
U zult uw factuur als bijlage Gratis breedband vinden.
Uw totale factuur is 75.09 Euro
Wij danken u voor uw vertrouwen.
Team Gratis
Bijlage: Factuur_Gratis_201610_6292582_95854808.zip
Deze tekst is in het Frans omdat Frankrijk een van de meest getargeteerde landen is samen met UK, Duitsland, Saoedi Arabië, Polen en Servië volgens malware onderzoekers van MalwareHunterTeam. De e-mails lijken als rechtmatige mededelingen met facturen. Het bovenstaande email probeert de gebruiker te verrassen dat hij 75 euro aan een onderneming of serviceonderneming verschuldigd is. Gefocust op de “schuld” openen de meeste gebruikers de bijlage om te zien wat precies gebeurt.
Hier is een andere variante van de spam brief in verband met de recente champagne in het Engels:
From: “Dee Compton”
Subject: Complaint letter
Date: Mon, 24 Oct 2016
Dear [Your email name],
Client sent a complaint letter regarding the data file you provided.
The letter is attached.
Please review his concerns carefully and reply him as soon as possible.
Best regards,
Dee Compton
Attachment: saved_letter_C10C6A2.js
Locky ransomware kan verspreid worden ook door sociale media en file-sharing sites. Vermijdt verdachte of onbekende links, bijlagen of bestanden in het algemeen. Voordat u een bestand opent, scan het altijd door een security applicatie. Leest de ransomware prevention tips in onze forum.
Locky Ransomware – Analyse
Een nieuwe verrekking van de vicieuze Locky ransomware is gevonden worden. Het crypto-virus herstelt het gebruik van C2 (Command and Control) servers en neemt hun payload verspreidingsschema als boven omschreven. Op deze manier verspreidt zich het kwaadaardige script heel snel en laat het virus tot uw computer toe. U kunt sommige van de C2 servers navolgend zien:
- 185.102.13677:80/linuxsucks.php
- 91.200.14124:80/linuxsucks.php
- 109.234.35215:80/linuxsucks.php
- bwcfinntwork:80/linuxsucks.php
Niettemin zijn er twee versies van Locky ransomware met bestand-extensies .shit worden bekeken maar zij gebruiken de C2 servers niet, zij wenden .DLL bestanden als toegangspunt aan en maken hen tot een offline way om de computer te infecteren, zonder een download locatie te bereiken.
Na uitvoering van het payload worden uw bestanden versleuteld en een ransom mededeling zal verschijnen. Een kopie van de mededeling zal er in bestanden met namen _WHAT_is.bmp
worden opgeslagen. De mededeling met de instructies zal als uw desktop background verschijnen en zal dezelfde zijn als in de vorige varianten (inclusieve de grammaticale fouts):
De tekst zegt het volgende:
!!! IMPORTANT INFORMATION !!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, All which is on our secret server.
To receive your private key follow one of the links:
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: jhomitevd2abj3fk.onion/5DYGW6MQXIPQSSBB
4. Follow the instructions on the site.
!!! Your personal identification ID: 5DYGW6MQXIPQSSBB !!!
Het Locky virus verbindt uw computer met een network domain dat verborgen is door TOR service (maar niet daarop gehost). De service die uploadt ziet gelijk uit als zijn voorganger.
De Locky ransomware zal worden geslagen (of is nog niet geslagen) omdat de encryptie heel sterk is , en onderzoekers hebben nog geen gebreken in de code van het virus gevonden. Slachtoffers van vorige iteraties van de ransomware berichten dat zij niet konden hun bestanden volstandig herstellen nadat zij aan cybercriminals hebben betaald. Dus, het is niet nuttig om de dieven te contacteren en te betalen. Als wij tot nu hebben gezien, zullen misdadigers ook toekomstig meer ransomware campagnes doen.
Op het moment is er geen volstandige lijst met alle bestandstypes die versleuteld worden maar er werd bericht dat bestanden met de volgende extensies kunnen worden geëncrypteerd:
→.txt, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .java, .jpg, .jpeg, .bmp, .tiff, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .arc, .paq, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .nef, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .mdb, .sql, .sqlitedb, .sqlite3, .pst, .onetoc2, .asc, .lay6, .lay, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .dot, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott, .odt, .doc, .pem, .csr, .crt, .key
Versleutelde bestanden zullen de .shit extensie hebben op het einde van de naam. Het encryptie-algoritme die gebruikt wordt door Locky is RSA-2048 met AES 128-bit cijfers.
Dit nieuwste model van Locky ransomware kan de Shadow Volume Copies in het Windows operating systeem met het volgende bevel verwijderen:
→vssadmin.exe delete shadows /all /Quiet
Leest verder om te ervaren hoe u de ransomware kunt verwijderen en om te zien, met welke methodes u proberen kunt sommige van uw gegevens te decrypteren.
Locky Virus Verwijderen en .shit Bestanden Herstellen
Als uw computer geïnfecteerd wordt met het Locky ransomware-virus, zou u een beetje ervaring hebben in het verwijderen van malware. U moet zo snelmogelijk van deze ransomware afkomen voordat zij de mogelijkheid heeft om zich te verspreiden en meer computers te infecteren. U zou de ransomware verwijderen en de beneden omschreven step-by-step instructies volgen. Om werkwijzen te zien hoe u kunt proberen om uw gegevens te herstellen, volgt de stappen in punt 2. Bestanden herstellen die versleuteld zijn door Locky Ransomware.
Hoe Locky Ransomware van je computer verwijderen? (handmatig)
Aandacht! Belangrijke mededeling m.b.t. Locky Ransomware: de handmatige verwijdering van Locky Ransomware vereist het aanbrengen van wijzigingen in de systeembestanden en registers. Dit kan dus schade aan je PC veroorzaken. Beschik je niet over de vereiste kennis? Geen probleem, je kunt dit doen door een malware remover te gebruiken.