Locky

Locky on verkkomato ja kiristysohjelma , joka hyökkää Microsoft Windows- ja Mac OS -käyttöjärjestelmiin . Se levisi virukselle vuonna 2016. Sitä jaetaan sähköpostitse (maksua vaativan laskun varjolla) liitteenä olevalla Microsoft Word -asiakirjalla, joka sisältää haitallisia makroja [1] . Se on salaustroijalainen , joka salaa tiedostot tartunnan saaneilla tietokoneilla. Tämän seurauksena lunnasohjelmat yrittävät kerätä lunnaita salauksen purkamista varten tartunnan saaneiden tietokoneiden käyttäjiltä.

Hyökkäystapa

Tartunnan mekanismi on saada sähköposti, jonka liitteenä on haitallista koodia sisältävä Microsoft Word -asiakirja. Kun tiedosto avataan, se kehottaa käyttäjää ottamaan makrot käyttöön asiakirjan katselua varten. Makrojen käyttöönotto ja asiakirjan avaaminen käynnistää Locky-viruksen [2] . Kun virus on käynnistetty, se ladataan käyttäjän järjestelmämuistiin ja salaa asiakirjat hash.locky-tiedostoina. Aluksi salatuille tiedostoille käytettiin vain .locky-tiedostotunnistetta. Myöhemmin on käytetty muita tiedostotunnisteita, kuten .zepto, .odin, .aesir, .thor ja .zzzzz. Kun se on salattu, viesti (näkyy käyttäjän työpöydällä) kehottaa häntä lataamaan Tor-selain ja käymään tietyllä rikossivustolla saadaksesi lisätietoja. Sivusto sisältää ohjeet, jotka edellyttävät 0,5–1 bitcoinin maksua (marraskuusta 2017 alkaen yhden bitcoinin arvo vaihtelee 9 000–10 000 dollarin välillä bitcoin-vaihdon kautta). Koska rikollisilla on yksityinen avain ja he hallitsevat etäpalvelimia, uhrit ovat motivoituneita maksamaan tiedostojensa salauksen purkamisesta [2] [3] .

Päivitykset

22. kesäkuuta 2016 Necurs julkaisi uuden version Lockysta, jossa on uusi käynnistyslatauskomponentti, joka sisältää useita menetelmiä havaitsemisen välttämiseksi, kuten sen havaitsemisen, onko se käynnissä virtuaalikoneessa vai fyysisessä koneessa ja ohjekoodin siirtäminen [4] .

Lockyn julkaisun jälkeen on julkaistu monia muunnelmia, jotka käyttävät erilaisia laajennuksia salatuille tiedostoille. Monet näistä laajennuksista on nimetty norjalaisen ja egyptiläisen mytologian jumalien mukaan. Ensimmäisen julkaisun yhteydessä salattujen tiedostojen laajennus oli .Locky. Muut versiot käyttivät salattujen tiedostojen laajennuksia .zepto, .odin, .shit, .thor, .aesir ja .zzzzz. Nykyinen versio, joka julkaistiin joulukuussa 2016, käyttää .osiris-laajennusta salatuille tiedostoille [5] .

Jakelu

Kiristysohjelmien julkaisun jälkeen on käytetty monia erilaisia jakelumenetelmiä. Näitä jakelumenetelmiä ovat hyödyntämispakkaukset [6] , Word- ja Excel-liitteet, joissa on haitallisia makroja [7] , DOCM-liitteet [8] ja JS-liitteet [9] .

Salaus

Locky käyttää RSA-2048 + AES-128 ja ECB-tila tiedostojen salaukseen. Avaimet luodaan palvelinpuolella, mikä tekee manuaalisesta salauksen purkamisesta mahdotonta, ja Locky Ransomware voi salata tiedostoja kaikilla kiintolevyillä, irrotettavilla asemilla, verkkoasemilla ja RAM-asemilla [10] .

Yleisyys

16. helmikuuta 2016 mennessä Locky lähetettiin noin puolelle miljoonalle käyttäjälle, ja heti sen jälkeen, kun hyökkääjät lisäsivät jakeluaan miljoonille käyttäjille. Uudemmasta versiosta huolimatta Google Trend -tiedot osoittavat, että tartunnat loppuivat kesäkuun 2016 tienoilla [11] .

Merkittäviä tapauksia

18. helmikuuta 2016 Hollywood Presbyterian Medical Center maksoi 17 000 dollarin lunnaita bitcoineina potilastietojen salauksenpurkuavaimesta [12] .

Huhtikuussa 2016 Dartford College of Science and Technologyn tietokoneet saivat viruksen. Opiskelija avasi tartunnan saaneen sähköpostin, joka levisi nopeasti ja salasi monet koulun tiedostot. Virus pysyi tietokoneella useita viikkoja. Lopulta he onnistuivat poistamaan viruksen käyttämällä järjestelmän palauttamista kaikille tietokoneille.

Microsoft onnistui kaappaamaan kuusi miljoonaa Necurs- bottiverkon käyttämää verkkotunnusta [ 13] .

Esimerkki tartunnan saaneesta viestistä

Rakas (satunnainen nimi):

Katso liitteenä oleva laskumme suoritetuista palveluista ja lisämaksuista edellä mainitussa asiassa.

Toivomme yllä olevaa tyydytystäsi, pysymme

Ystävällisin terveisin,

(satunnainen nimi)

(satunnainen otsikko)

Muistiinpanot

↑ Sean Gallagher. "Locky" krypto- lunnasohjelma ajaa haitallista Word-asiakirjamakroa vastaan . Ars Technica (17. helmikuuta 2016). Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 19. joulukuuta 2019.
↑ 1 2 "Locky" ransomware - mitä sinun tulee tietää (eng.) . Naked Security (17. helmikuuta 2016). Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 19. joulukuuta 2019.
↑ "Locky" lunnasohjelma - mitä sinun tulee tietää . Naked Security (17. helmikuuta 2016). Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 19. joulukuuta 2019.
↑ Google-kääntäjä . translate.google.com. Haettu: 18.12.2019. (määrätön)
↑ Locky Ransomware -tiedot, ohjeopas ja usein kysytyt kysymykset . BleepingComputer. Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 17. tammikuuta 2020.
↑ Malware-Traffic-Analysis.net - 23.12.2016 - Afraidgate Rig-V 81.177.140.7 lähettää "Osiris" -version Lockyn . www.malware-traffic-analysis.net. Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 18. joulukuuta 2019. (määrätön)
↑ Locky Ransomware siirtyy Egyptin mytologiaan Osiris- laajennuksen avulla . BleepingComputer. Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 19. marraskuuta 2020.
↑ Locky Ransomware jaettu DOCM-liitteiden kautta uusimmissa sähköpostikampanjoissa . tulisilmä. Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 19. joulukuuta 2019.
↑ Locky Ransomware nyt upotettu Javascriptiin . Cyren. Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 30. joulukuuta 2019.
↑ Mikä on Locky lunnasohjelma? (englanniksi) . Mikä on Locky Ransomware?. Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 19. joulukuuta 2019.
↑ Google Trends . Google Trends. Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 10. helmikuuta 2017. (Venäjän kieli)
↑ Hollywoodin sairaala maksaa 17 000 dollaria bitcoineina hakkereille; FBI tutkii . Los Angeles Times (18. helmikuuta 2016). Haettu 18. joulukuuta 2019. Arkistoitu alkuperäisestä 23. joulukuuta 2019.
↑ Microsoft käynnisti hyökkäyksen Necurs-bottiverkkoa vastaan . Haettu 21. maaliskuuta 2020. Arkistoitu alkuperäisestä 21. maaliskuuta 2020. (määrätön)

2010-luvun hakkerihyökkäykset
Suurimmat hyökkäykset	Kyberhyökkäykset Australiassa (2010) Operaatio Digi Notar Operaatio PlayStation Networkin hakkerointi ja sulkeminen Toiminta jääsumu Operaatio Red October email LinkedIn-hakkerointi (2012) Kyberhyökkäys Etelä-Koreaan (2013) snapchat Käyttötavarat Massiivinen iCloud-tilin hakkerointi Sony Pictures Entertainment -palvelimien hakkerointi Kyberhyökkäys Yhdysvaltain demokraattista kansallista komiteaa vastaan Kyberhyökkäys Dyniä vastaan Kyberhyökkäys Westminsterin palatsiin WannaCry lunnasohjelmahyökkäys Hakkerihyökkäykset Ukrainaan (2017)
Hakkereiden ryhmät ja yhteisöt	Nimetön kansainvälinen Nimetön cyberkut Divisioona 121 Kodikas karhu Derp GNAA fantasia karhu Goatse Security Lizard Squad LulzRaft LulzSec NullCrew Osasto 61398 RedHack Syyrian elektroninen armeija Jemenin elektroninen armeija Iranin elektroninen armeija TeaMp0isoN käyttötoiminnot ugnazi
yksinäisiä hakkereita	Jeremy Hammond George Hotz Guccifer Guccifer Sabu Topiary The Jester weev
Havaittiin kriittisiä haavoittuvuuksia	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty Cow (Linux, 2016) EternalBlue ( SMBv1 , 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorn (2017) Sulautuminen (2018) Spectre (2018) Blue Keep (2019)
Tietokonevirukset	Asprox paha kani BASKLIITTI Bredolab Carbanak carberp Huolehtia carna Linnoitus CryptoLocker Cutwail Dexter donbot Dridex duqu EternalRocks FinFisher liekki Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye tähdet Stuxnet TDL-4 Virut Vulcanbot Haluta itkeä Nolla pääsy ANT katalogi
2000 -luku • 2010 -luku • 2020-luku