Locky Ransomware is deadly! هنا هو كل ما يجب معرفته عن هذا الفيروس.

Locky هو اسم Ransomware الذي تم تطويره في وقت متأخر ، وذلك بفضل ترقية الخوارزمية المستمرة من قبل مؤلفيه. يعيد Locky ، كما اقترح باسمه ، تسمية جميع الملفات الهامة على جهاز الكمبيوتر المصاب الذي يعطيها امتدادًا.locky ويطالب بفدية لمفاتيح فك التشفير.

Locky ransomware - Evolution

Ransomware نمت بمعدل ينذر بالخطر في عام 2016. ويستخدم البريد الإلكتروني والهندسة الاجتماعية لإدخال أنظمة الكمبيوتر الخاص بك. ظهرت معظم رسائل البريد الإلكتروني مع المستندات الضارة المرفقة سلالة رانسومواري شعبية. من بين البلايين من الرسائل التي استخدمت مرفقات المستندات الضارة ، ظهر 97٪ منها Locky ransomware ، وهو ما يمثل زيادة مفزعة بنسبة 64٪ عن Q1 2016 عندما تم اكتشافها لأول مرة.

تم اكتشاف Locky Ransomware لأول مرة في فبراير 2016 ، وتم إرسالها إلى نصف مليون مستخدم. ظهر لوكي في دائرة الضوء عندما في شهر فبراير من هذا العام ، دفع المركز الطبي في هوليوود المشيخية فدية بقيمة 17000 بيتكوين مقابل مفتاح فك التشفير لبيانات المرضى. بيانات مستشفى لوبي المصابة من خلال مرفق بريد إلكتروني متخفي في شكل فاتورة Microsoft Word.

منذ شهر فبراير / شباط ، قام لوكي بربط ملحقاته في محاولة لخداع الضحايا بأنهم أصيبوا بفيروس Ransomware مختلف. بدأ Locky في الأصل بإعادة تسمية الملفات المشفرة إلى

.locky وبحلول الوقت الذي وصل فيه الصيف ، تطور إلى ملحق .zepto ، والذي تم استخدامه في حملات متعددة منذ ذلك الحين. آخر سماع ، Locky الآن تشفير الملفات مع التمديد

.ODIN ، محاولة إرباك المستخدمين أنه في الواقع رانسومواري أودين. Locky Ransomware

Locky Ransomware ينتشر أساسا عبر رسائل البريد الإلكتروني غير المرغوب فيها حملات يديرها المهاجمون. تحتوي رسائل البريد الإلكتروني العشوائية هذه على معظمها على

ملفات.doc كمرفقات تحتوي على نص مشفر يظهر على هيئة وحدات ماكرو. قد يكون البريد الإلكتروني النموذجي المستخدم في توزيع Locky Ransomware فاتورة تجذب انتباه معظم المستخدمين ، على سبيل المثال ،

قد يكون موضوع البريد الإلكتروني -

"ATTN: الفاتورة P-12345678" ، المرفق المصاب - " invoice_P-12345678.doc " (يحتوي على وحدات الماكرو التي تقوم بتنزيل وتثبيت Locky Ransomware على أجهزة الكمبيوتر): " وجسم البريد الإلكتروني -" عزيزي شخص ما ، يرجى الاطلاع على الفاتورة المرفقة (مستند Microsoft Word) وتحويل الدفعة وفقًا للبنود المدرجة في أسفل الفاتورة. فضلا اخبرنا إن كان لديك أية أسئلة. نحن نقدر عملك بشكل كبير! ”

بمجرد أن يقوم المستخدم بتمكين إعدادات الماكرو في برنامج Word ، يتم تنزيل ملف قابل للتنفيذ هو في الواقع الفدية على جهاز الكمبيوتر. بعد ذلك ، يتم تشفير العديد من الملفات على جهاز الكمبيوتر الخاص بالضحية بواسطة أداة الفدية التي تمنحك أسماء فريدة مكونة من 16 حرفًا مع

.shit ، .thor ، .locky ، .zepto أو .odin امتدادات الملفات. يتم تشفير جميع الملفات باستخدام RSA-2048 و AES-1024 خوارزميات وتتطلب مفتاحًا خاصًا مخزناً على الخوادم البعيدة التي يسيطر عليها مجرمو الإنترنت لفك تشفيرها. بمجرد الملفات يتم تشفير Locky بإنشاء ملف

.txt و _HELP_instructions.html إضافية في كل مجلد يحتوي على الملفات المشفرة. يحتوي هذا الملف النصي على رسالة (كما هو موضح أدناه) تقوم بإعلام المستخدمين بالتشفير. ويذكر أيضًا أنه لا يمكن فك تشفير الملفات إلا باستخدام decrypter تم تطويرها من قبل مجرمي الإنترنت وتكلفتها 0.5 BitCoin. ومن ثم ، للحصول على الملفات مرة أخرى ، يُطلب من الضحية تثبيت متصفح تور واتباع ارتباط موجود في الملفات النصية / الخلفية. يحتوي موقع الويب على تعليمات لإجراء الدفع.

ليس هناك ما يضمن أنه حتى بعد إجراء عملية الدفع سيتم فك تشفير الملفات الضحية. ولكن عادة لحماية المؤلفين "رانسومواري" `السمعة` عادة التمسك بجزءهم من الصفقة.

Locky Ransomware تغيير من.wsf إلى ملحق.LNK

بوست تطورها هذا العام في فبراير؛ لقد انخفض عدد حالات العدوى باستخدام أداة Locky Ransomware بشكل تدريجي مع وجود عدد أقل من عمليات الكشف عن

Nemucod ، والتي يستخدمها Locky لإصابة أجهزة الكمبيوتر. (Nemucod هو ملف.wsf موجود في مرفقات.zip في البريد الإلكتروني العشوائي). ومع ذلك ، وكما ذكرت تقارير مايكروسوفت ، قام مؤلفو Locky بتغيير المرفق من .wsf files إلى الملفات المختصرة (امتداد LNK) التي تحتوي على أوامر PowerShell لتنزيل وتشغيل Locky. An يوضح مثال البريد الإلكتروني العشوائي أدناه أنه يتم جذب الانتباه الفوري من المستخدمين. يتم إرسالها مع أهمية عالية ومع أحرف عشوائية في سطر الموضوع. نص البريد الإلكتروني فارغ.

البريد الإلكتروني العشوائي عادةً ما يُطلق عليه اسم بيل يصل بمرفق.zip ، والذي يحتوي على ملفات.LNK. عند فتح المرفق.zip ، يقوم المستخدمون بتشغيل سلسلة الإصابة. تم اكتشاف هذا التهديد كـ

TrojanDownloader: PowerShell / Ploprolo.A . عند تشغيل البرنامج النصي PowerShell بنجاح ، يقوم بتنزيل وينفذ Locky في مجلد مؤقت يكمل سلسلة الإصابة. أنواع الملفات المستهدفة بواسطة Locky Ransomware

فيما يلي أنواع الملفات المستهدفة بواسطة Locky Ransomware.

.yuv،. ycbcra أو.xis أو.wpd أو.tex أو.sxg أو.stx أو.srw أو.srf أو.sqlitedb أو.sqlite3 أو.sqlite أو.sdf أو.sda أو.s3db أو.rwz أو.rwl أو.rdb.rat،.raf،.qby،.qbx،.qbw،.qbr،.qba،.psafe3،.plc،.plus_muhd،.pdd،.oth،.orf،.odm،.odf،.nyf،.nxl أو.nwb أو.nrw أو.nop أو.nef أو.ndd أو.myd أو.mrw أو.moneywell أو.mny أو.mmw أو.mfw أو.mef أو.mdc أو.lua أو.kpdx أو.kdc أو. kdbx،.jpe،.incpas،.iiq،.ibz،.ibank،.hbk،.gry،.grey،.gray،.fhd،.ffd،.exf،.erf،.erbsql،.eml،.dxg،.drf،.dng،.dgc،.des،.der،.ddrw،.ddoc،.dcs،.db_journal،.csl،.csh،.crw،.craw،.cib،.cdrw،.cdr6،.cdr5 ،.cdr4،.cdr3،.bpw،.bgt،.bdb،.bay،.bank،.backupdb،.backup،.back،.awg،.apj،.ait،.agdl،.ads،.adb،. acr،.ach،.accdt،.accdr،.accde،.vmxf،.vmsd،.vhdx،.vhd،.vbox،.stm،.rvt،.q البقرة ،.qed ،.pif ،.pdb ،.pab ،.ost ،.ogg ،.nvram ،.ndf ،.m2ts ،.log ،.hpp ،.hdd ،.groups ،.flvv ،.edb ،.dit ،.dat،.cmt،.bin،.aiff،.xlk،.wad،.tlg،.say،.sas7bdat،.qbm،.qbb،.ptx،.pfx،.pef،.pat،.oil،.odc.nsh،.nsg،.nsf،.nsd،.mos،.indd،.iif،.fpx،.fff،.fdb،.dtd،.design،.ddd،.dcr،.dac،.cdx،. cdf،.blend،.bkp،.adp،.act،.xlr،.xlam،.xla،.wps،.tga،.pspimage،.pct،.pcd،.fxg،.flac،.eps،.dxb،.drw أو.dot أو.cpi أو.cls أو.cdr أو.arw أو.aac أو.thm أو.srt أو.save أو.safe أو.pwm أو.pages أو.obj أو.mlb أو.mbx أو.lit أو.laccdb أو.kwm أو.idx أو.html أو.flf أو.dxf أو.dwg أو.dds أو.csv أو.css أو.config أو.cfg أو.cer أو.asx أو.aspx أو.aoi أو. accdb،.7zip،.xls،.wab،.rtf،.prf،.ppt،.oab،.msg،.mapimail،.jnt،.doc،.dbx،.contact،.mid،.wma،.flv،.mkv،.mov،.avi،.asf،.mpeg،.vob،.mpg،.wmv،.fla،.swf،.wav،.qcow2،.vdi،.vmdk،.vmx،.wallet،.upk ،.sav ،.ltx ،.litesql ،.litemod ،.lbf ،.iwi ،.forge ،.das ،.d3dbsp ،.bsa ،.bik ،.asset ،.apk ،.gpg ،.aes ،.ARC ،. PAQ ،.tar.bz2 ،.tbk ،.bak ،. tar،.tgz،.rar،.zip،.djv،.djvu،.svg،.bmp،.png،.gif،.raw،.cgm،.jpeg،.jpg،.tif،.tiff،.NEF،.psd أو.cmd أو.bat أو.class أو.jar أو.java أو.asp أو.brd أو.sch أو.dch أو.dip أو.vbs أو.asm أو.pas أو.cpp أو.php أو.ldf ،.mdf ،.ibd ،.MYI ،.MYD ،.frm ،.odb ،.dbf ،.mdb ،.sql ،.SQLITEDB ،.SQLITE3 ،.pst ،.onetoc2 ،.asc ،.lay6 ،.lay ،. ms11 (نسخة أمان) أو.sldm أو.sldx أو.ppsm أو.ppsx أو.ppam أو.docb أو.mml أو.sxm أو.otg أو.odg أو.uop أو.potx أو.potm أو.pptx أو.pptm أو.std أو.sxd أو.pot أو.pps أو.sti أو.sxi أو.otp أو.odp أو.wks أو.xltx أو.xltm أو.xlsx أو.xlsm أو.xlsb أو.slk أو.xlw أو. xlt،.xlm،.xlc،.dif،.stc،.sxc،.ots،.ods،.hwp،.dotm،.dotx،.docm،.docx،.DOT،.max،.xml،.txt،.CSV أو.uot أو.RTF أو.pdf أو.XLS أو.PPT أو.stw أو.sxw أو.ott أو.odt أو.DOC أو.pem أو.csr أو.crt أو.ke.

كيف منع هجوم Locky Ransomware

Locky هو فيروس خطير يمتلك تهديدًا خطيرًا لجهاز الكمبيوتر الخاص بك. يوصى باتباع هذه التعليمات لمنع استخدام الفدية وتجنب الإصابة.

لديك دائمًا برنامج مكافحة البرامج الضارة وبرنامج مكافحة الفدية يحمي جهاز الكمبيوتر الخاص بك ويحدّثه بانتظام.

1. قم بتحديث نظام التشغيل Windows الخاص بك وباقي برامجك باستمرار لتخفيف احتمال استغلال البرنامج.
2. قم بعمل نسخ احتياطية من ملفاتك الهامة بانتظام. يعد خيارًا جيدًا حفظها في وضع عدم الاتصال أكثر من التخزين على السحابة حيث يمكن للفيروس الوصول إلى هناك أيضًا
3. تعطيل تحميل وحدات الماكرو في برامج Office. قد يؤدي فتح ملف مستند Word المصاب بالمخاطر إلى خطر!
4. لا تفتح البريد بشكل أعمى في قسم البريد الإلكتروني "البريد المزعج" أو "غير المرغوب فيه". قد يخدعك هذا في فتح بريد إلكتروني يحتوي على البرامج الضارة. فكر قبل النقر على روابط الويب على مواقع الويب أو رسائل البريد الإلكتروني أو تنزيل مرفقات البريد الإلكتروني من المرسلين الذين لا تعرفهم. لا تقم بالنقر فوق أو فتح هذه المرفقات:
5. الملفات ذات الامتداد.LNK
1. الملفات ذات ملحق.sfs
2. الملفات ذات ملحق نقطة مزدوجة (على سبيل المثال ، profile-p29d … wsf).
3. اقرأ

: ماذا تفعل بعد هجوم Ransomware على جهاز الكمبيوتر الخاص بك ويندوز؟ كيفية فك تشفير Locky Ransomware

وحتى الآن ، لا توجد decrypters المتاحة ل Locky Ransomware. ومع ذلك ، يمكن استخدام Decryptor من Emsisoft لفك تشفير الملفات المشفرة بواسطة

AutoLocky ، وهو رانسومواري آخر يقوم أيضًا بإعادة تسمية الملفات إلى ملحق.locky. يستخدم AutoLocky لغة البرمجة النصية AutoI ويحاول تقليد أداة Locky Ransomware المعقدة والمتطورة. يمكنك أن ترى قائمة كاملة من أدوات فك التشفير المتاحة ransomware هنا. المصادر والاعتمادات

: مايكروسوفت | BleepingComputer | PCRisk.