Locky Ransomware werd voor het eerst gedetecteerd in 2016. Locky is software die speciaal is ontworpen om computergegevens te vergrendelen. Na het betalen van losgeld (vandaar de naam Ransomware), kunnen gegevens worden versleuteld.
Om gegevens die door Locky zijn versleuteld te decoderen, hebt u een sleutel nodig. De decoderingssleutel moet worden gekocht bij cybercriminelen.
Cybercriminelen opereren vaak via het TOR-netwerk. In het TOR-netwerk is de cybercrimineel die Locky verspreidt anoniem en moet hij betalen in bitcoins. Betalingen in Bitcoin variëren van 0.5 tot 1 bitcoin per geïnfecteerde computer. Als het slachtoffer niet in bitcoin betaalt, zijn de gegevens die door de Locky-ransomware zijn versleuteld waardeloos.
In veel gevallen wordt de Locky-ransomware verspreid via valse e-mails. Deze e-mails bevatten een PDF-, Microsoft Word- of JS-bestand (Javascript) dat de Locky Ransomware Payload downloadt en installeert.
Na installatie vergrendelt Locky ransomware mediabestanden, kantoordocumenten en Windows bestanden met RSA-2048 + AES-128-codering en ECB-moduscodering. Deze encryptie is onmogelijk te kraken. De sleutel om de versleutelde gegevens te ontsleutelen wordt aan de serverzijde gegenereerd. De door de server gegenereerde sleutels maken het onmogelijk om de bestanden lokaal te decoderen.
Bestanden herstellen via Windows is niet mogelijk. Allemaal Windows herstelpunten/schaduwkopieën worden verwijderd, en Windows herstelmogelijkheden zijn uitgeschakeld. De enige manier om bestanden te herstellen is als de gebruiker externe back-ups heeft opgeslagen op een server die niet toegankelijk is voor de geïnfecteerde computer. Alle bijbehorende hardware of shares in Windows zijn mede-geïnfecteerd door de Locky ransomware.
Om Locky te voorkomen, moet de gebruiker alert zijn op verdachte e-mails. Deze e-mails mogen nooit worden geopend als men niet weet wie de afzender is. E-mailbijlagen moeten zijn scanned met antivirussoftware en zelfs dan handmatig gecontroleerd voordat ze worden geopend.
Als de gebruiker via e-mail een Word-document probeert te openen dat macro's mogelijk maakt, is de kans groot dat het ransomware is. Wees dus voorzichtig met de macrocode in Office.
Zorg ervoor dat alle software is bijgewerkt naar de nieuwste versie. Denk aan webbrowsers, serversoftware, Microsoft Windows, enz. Hackers zijn erop uit om ongepatchte software met fouten te exploiteren. Zodra een systeem is binnengedrongen, installeren cybercriminelen vaak ransomware zoals Locky.
Indien mogelijk moeten gebruikers accounts aanmaken in Windows die een minimum aantal privileges hebben. Gebruikersaccounts in Windows met beheerdersrechten kan automatisch netwerkshares, netwerkschijven of computers infecteren met Locky ransomware.
Leer wat te doen bij ransomware.