Locky Ransomware впервые был обнаружен в 2016 году. Locky — это программное обеспечение, специально разработанное для блокировки компьютерных данных. После уплаты выкупа (отсюда и название Ransomware) данные могут быть зашифрованы.
Чтобы расшифровать данные, зашифрованные Locky, вам нужен ключ. Ключ дешифрования должен быть куплен у киберпреступников.
Киберпреступники часто действуют через сеть TOR. В сети TOR киберпреступник, которого распространяет Locky, является анонимным и должен платить в биткойнах. Платежи в биткойнах варьируются от 0.5 до 1 биткойна за зараженный компьютер. Если жертва не платит биткойнами, данные, зашифрованные программой-вымогателем Locky, бесполезны.
Во многих случаях программа-вымогатель Locky распространяется через поддельные электронные письма. Эти электронные письма содержат файл PDF, Microsoft Word или JS (Javascript), который загружает и устанавливает полезную нагрузку Locky Ransomware.
После установки программа-вымогатель Locky блокирует мультимедийные файлы, офисные документы и Windows файлы с шифрованием RSA-2048 + AES-128 и шифрованием в режиме ECB. Это шифрование невозможно взломать. Ключ для расшифровки зашифрованных данных генерируется на стороне сервера. Ключи, сгенерированные на стороне сервера, делают невозможным расшифровку файлов локально.
Восстановление файлов через Windows это невозможно. Все Windows точки восстановления/теневые копии удаляются, и Windows возможности восстановления отключены. Единственный способ восстановить файлы — это если у пользователя есть удаленные резервные копии, хранящиеся на сервере, который недоступен зараженному компьютеру. Все связанное оборудование или доли в Windows заражаются программой-вымогателем Locky.
Чтобы предотвратить блокировку, пользователь должен быть готов к подозрительным электронным письмам. Эти электронные письма никогда не следует открывать, если вы не знаете, кто является отправителем. Вложения электронной почты должны быть scanзащищены антивирусным программным обеспечением и даже проверяются вручную перед их открытием.
Если пользователь пытается открыть документ Word по электронной почте, в котором включены макросы, скорее всего, это программа-вымогатель. Так что будьте осторожны с кодом макроса в Office.
Убедитесь, что все программное обеспечение обновлено до последней версии. Подумайте о веб-браузерах, серверном программном обеспечении, Microsoft Windowsи т. д. Хакеры стремятся использовать неисправленное и ошибочное программное обеспечение. После проникновения в систему киберпреступники часто устанавливают программы-вымогатели, такие как Locky.
По возможности пользователи должны создавать учетные записи в Windows которые имеют минимальное количество привилегий. Учетные записи пользователей в Windows с правами администратора может автоматически заражать общие сетевые ресурсы, сетевые диски или компьютеры программой-вымогателем Locky.
Изучай что делать с помощью программы-вымогателя.