Locky on verkkomato ja kiristysohjelma , joka hyökkää Microsoft Windows- ja Mac OS -käyttöjärjestelmiin . Se levisi virukselle vuonna 2016. Sitä jaetaan sähköpostitse (maksua vaativan laskun varjolla) liitteenä olevalla Microsoft Word -asiakirjalla, joka sisältää haitallisia makroja [1] . Se on salaustroijalainen , joka salaa tiedostot tartunnan saaneilla tietokoneilla. Tämän seurauksena lunnasohjelmat yrittävät kerätä lunnaita salauksen purkamista varten tartunnan saaneiden tietokoneiden käyttäjiltä.
Tartunnan mekanismi on saada sähköposti, jonka liitteenä on haitallista koodia sisältävä Microsoft Word -asiakirja. Kun tiedosto avataan, se kehottaa käyttäjää ottamaan makrot käyttöön asiakirjan katselua varten. Makrojen käyttöönotto ja asiakirjan avaaminen käynnistää Locky-viruksen [2] . Kun virus on käynnistetty, se ladataan käyttäjän järjestelmämuistiin ja salaa asiakirjat hash.locky-tiedostoina. Aluksi salatuille tiedostoille käytettiin vain .locky-tiedostotunnistetta. Myöhemmin on käytetty muita tiedostotunnisteita, kuten .zepto, .odin, .aesir, .thor ja .zzzzz. Kun se on salattu, viesti (näkyy käyttäjän työpöydällä) kehottaa häntä lataamaan Tor-selain ja käymään tietyllä rikossivustolla saadaksesi lisätietoja. Sivusto sisältää ohjeet, jotka edellyttävät 0,5–1 bitcoinin maksua (marraskuusta 2017 alkaen yhden bitcoinin arvo vaihtelee 9 000–10 000 dollarin välillä bitcoin-vaihdon kautta). Koska rikollisilla on yksityinen avain ja he hallitsevat etäpalvelimia, uhrit ovat motivoituneita maksamaan tiedostojensa salauksen purkamisesta [2] [3] .
22. kesäkuuta 2016 Necurs julkaisi uuden version Lockysta, jossa on uusi käynnistyslatauskomponentti, joka sisältää useita menetelmiä havaitsemisen välttämiseksi, kuten sen havaitsemisen, onko se käynnissä virtuaalikoneessa vai fyysisessä koneessa ja ohjekoodin siirtäminen [4] .
Lockyn julkaisun jälkeen on julkaistu monia muunnelmia, jotka käyttävät erilaisia laajennuksia salatuille tiedostoille. Monet näistä laajennuksista on nimetty norjalaisen ja egyptiläisen mytologian jumalien mukaan. Ensimmäisen julkaisun yhteydessä salattujen tiedostojen laajennus oli .Locky. Muut versiot käyttivät salattujen tiedostojen laajennuksia .zepto, .odin, .shit, .thor, .aesir ja .zzzzz. Nykyinen versio, joka julkaistiin joulukuussa 2016, käyttää .osiris-laajennusta salatuille tiedostoille [5] .
Kiristysohjelmien julkaisun jälkeen on käytetty monia erilaisia jakelumenetelmiä. Näitä jakelumenetelmiä ovat hyödyntämispakkaukset [6] , Word- ja Excel-liitteet, joissa on haitallisia makroja [7] , DOCM-liitteet [8] ja JS-liitteet [9] .
Locky käyttää RSA-2048 + AES-128 ja ECB-tila tiedostojen salaukseen. Avaimet luodaan palvelinpuolella, mikä tekee manuaalisesta salauksen purkamisesta mahdotonta, ja Locky Ransomware voi salata tiedostoja kaikilla kiintolevyillä, irrotettavilla asemilla, verkkoasemilla ja RAM-asemilla [10] .
16. helmikuuta 2016 mennessä Locky lähetettiin noin puolelle miljoonalle käyttäjälle, ja heti sen jälkeen, kun hyökkääjät lisäsivät jakeluaan miljoonille käyttäjille. Uudemmasta versiosta huolimatta Google Trend -tiedot osoittavat, että tartunnat loppuivat kesäkuun 2016 tienoilla [11] .
18. helmikuuta 2016 Hollywood Presbyterian Medical Center maksoi 17 000 dollarin lunnaita bitcoineina potilastietojen salauksenpurkuavaimesta [12] .
Huhtikuussa 2016 Dartford College of Science and Technologyn tietokoneet saivat viruksen. Opiskelija avasi tartunnan saaneen sähköpostin, joka levisi nopeasti ja salasi monet koulun tiedostot. Virus pysyi tietokoneella useita viikkoja. Lopulta he onnistuivat poistamaan viruksen käyttämällä järjestelmän palauttamista kaikille tietokoneille.
Microsoft onnistui kaappaamaan kuusi miljoonaa Necurs- bottiverkon käyttämää verkkotunnusta [ 13] .
Rakas (satunnainen nimi):
Katso liitteenä oleva laskumme suoritetuista palveluista ja lisämaksuista edellä mainitussa asiassa.
Toivomme yllä olevaa tyydytystäsi, pysymme
Ystävällisin terveisin,
(satunnainen nimi)
(satunnainen otsikko)