脸谱网0linkedin0推特0阅读时刻:约4分钟。一种新形式的勒索软件浮上了,尽管那个有一具有味的外号,但一点也不行玩。坏消息是,"Locky"勒索软件将加密几乎所有常用的文件类型,不仅针对本地驱动器,还针对它能找到的任何联网驱动器,即使它们未映射。好消息是,Locky特别容易预防,因为它依靠于MS-Word宏来下载和执行实际的恶意软件。用洛克勒索软件感染计算机的唯一想法是从垃圾邮件中打开附加文档并允许Word宏足本运行。(有关此类执行的普通概述,请参阅我们对于Microsoft Word和Excel宏的博客文章。)Locky最常见的是经过具有类似主题和消息的垃圾邮件举行分发。主题通常类似于"收件人:发票J-123456748",信息通常是"请参阅所附发票(Microsoft Word文档),并依照发票底部列出的条款汇款"。假如受害者按照指令启用宏,足本将从远程
服务器下载锁定负载并执行它。Locky可执行文件将被存储并从%Temp%文件夹运行,它将即将创建一具唯一的16个字符的十六进制名称并将其分配给受害者(类似于"A8678FDE2634DB5F"),接着发送到远程服务器以举行跟踪和识别。一旦Locky可执行文件启动并为受害者分配了一具唯一的ID,它将即将开始扫描驱动器以寻找要加密的文件。它不仅会加密本地文件,
DDoS高防,还将搜索它能找到的任何远程驱动器(甚至是未映射的网络共享),
DDoS防御,并将加密它们的文件。Locky将使用AES加密算法加密具有以下扩展名的所有文件:.mid、.wma、.flv、.mkv、.mov、.avi、.asf、.mpeg、.vob、.mpg、.wmv、.fla、.swf、.wav、.qcow2、.vdi、.vmdk、.vmx、.gpg、.aes、.ARC、.PAQ、。焦油bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.IBM,.ibd,.MYI,.My,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.asc,.lay6,.lay,.ms11(安全性副本),.sldm,.sldx,.ppsm,.PPX,.ppam,.DOB,.mml,.sxm,.otg,.odg,.UO,.potx,.potm,.pptx,.std,.SX,.pot,.pot,.pps,.pot,.SX,,.SX,
防DDoS,.SX,.XX,.XLX,.XLX,.XL,.XL,.XL.xlt,.xlm,.xlc、.dif、.stc、.sxc、.ots、.ods、.hwp、.dotm、.dotx、.docm、.docx、.DOT、.max、.xml、.txt、.CSV、.uot、.RTF、.pdf、.XLS、.PPT、.stw、.sxw、.ott、.odt、.DOC、.pem、.csr、.crt、.key,钞票包.dat然而,关于完整路径名和文件名包含以下字符串之一的文件,Locky不大概加密:tmp,winnt,应用程序数据,AppData,程序文件(x86),程序文件,temp,拇指.db, $回收站,系统卷信息,引导,Windows与去年浮上的加密墙勒索软件一样,洛克还更改了加密文件的名称,以使受害者更难恢复正确的数据。Locky对加密文件使用"[unique_id][identifier].Locky"命名格式。例如,假如Locky给受害者分配了一具唯一的名字"A8678FDE2634DB5F",它会加密一具类似"A8678FDE2634DB5F"的文件示例.doc,该文件大概被重命名为"A8678FDE2634DB5F0123456789"骆家辉" . 除了躲藏原始文件名之外,Locky还额外删除了计算机上的所有卷影卷副本,以防止受害者不过回滚或恢复其文件。由于Locky的要紧目的是强迫受害者支付赎金来检索/解密他们的数据,所以Locky将恢复指令放在受害者驱动器的多个位置。名为"_Locky_recover"的文本文件_讲明.txt"将被丢弃到文件已加密的每个文件夹中,同时Windows墙纸将更改为"%UserpProfile%\Desktop\\u Locky_recover"。"_讲明.bmp",其中包含与文本文件相同的讲明。Locky提供的指令包含到一具称为Locky解密器页面的Tor站点的链接。那个网站的网址是"6dtxgqam4crv6rr6.onion",它引导受害者完成支付赎金和检索数据的过程。详细信息包括:作为支付发送的比特币的数量,怎么购买比特币,提交支付的比特币地址,以及支付后到解密器的链接。文本讲明桌面背景讲明Locky还将在Windows注册表中的以下项下存储各种信息:HKCU\Software\Locky\id–分配给受害者的唯一idHKCU\Software\Locky\pubkey–RSA公钥HKCU\Software\Locky\paytext–勒索短信HKCU\Software\Locky\completed–勒索软件是否完成对所有可用文件的加密HKCU\Control Panel\Desktop\Wallpaper("%UserProfile%\Desktop\\U Locky\u恢复_讲明.bmp")由于Locky勒索软件能够加密所有网络驱动器,所以锁定任何可用网络共享的权限至关重要。一如既往,定期对所有重要数据执行定时备份,并在不使用时将备份驱动器存储在网络之外。目前,还没有已知的想法能够解密由Locky加密的文件(除非支付赎金),而且它删除了卷影卷拷贝,这使得这一点更加难以规避。有报道称,洛基受害者在付款后基本成功地检索到了他们的数据,然而向网络罪犯支付他们要求的赎金是永久不可取的。有了尽职尽责和良好的安全习惯,每个人都应该可以幸免被洛克感染。对于作者内森·怀曼威胁研究分析员Nathan与PC合作了近20年,并于2013年加入Webroot的客户支持eam。如今是一名威胁研究分析师,他研究和分析新浮上的恶意软件趋势。脸谱网0linkedin0推特0
,DDoS防御
当前位置:主页 > CC防护 > 国外服务器谨防_能不能防_剑网高防
