Was ist Locky Ransomware und wie schützt man sich davor?
Locky-Ransomware wurde erstmals im Januar 2016 entdeckt. Seitdem hat es sich zu einer Familie von Ransomware-Systemen entwickelt
Obwohl der ursprüngliche Locky nicht mehr aktiv ist, gibt es immer noch Varianten. Es gibt auch keine Garantie dafür, dass der Original-Locky nicht zurückkommt. Es gibt also allen Grund, diese Malware und ihre Varianten zu erforschen und Schutzmaßnahmen zu installieren, um zu verhindern, dass sie auf Ihr System gelangt.
Die Ransomware-Familie Locky greift an Windows Systeme. Mit der Locky-Ransomware durchgeführte Angriffskampagnen sind opportunistisch und nicht zielgerichtet. Der Code für den Virus ist beigefügt Spam-E-Mails die gleichzeitig an Listen mit Hunderttausenden E-Mail-Adressen verschickt werden.
Die Strategie ist ein Zahlenspiel. Ein Prozentsatz der Empfänger wird sich für den allgemeinen Text der E-Mail interessieren und ein Prozentsatz dieser Personen wird den Anhang öffnen. Eine Untergruppe dieser Nummer wird das aktivieren Makros die die Locky-Ransomware laden.
Ziele der Locky-Ransomware
Obwohl Lockys Einstiegsstrategie durch ist Massenmailings ist es möglich, dieses Zielfeld anzupassen, indem Listen mit E-Mails in bestimmten Branchen erfasst werden. Der Gesundheitssektor war für Locky ein großes Ziel. Der Telekommunikation Und Transport Sektoren sind die nächstgrößten Ziele.
Angriffe auf Unternehmen sind profitabler als Angriffe auf Privatpersonen. Große Organisationen haben mehr Geld übrig als Einzelpersonen, aber sie haben auch mehr zu verlieren. Während viele Ransomware-Programme etwa 500 US-Dollar für die Behebung verlangen, lag das eingezahlte Lösegeld von Locky normalerweise zwischen 4.500 und 10.000 US-Dollar Bitcoin . Dabei handelt es sich nicht um die höchste Lösegeldforderung; Manche Ransomware verlangt Beträge in Millionenhöhe.
Das Necurs-Botnetz
Mittlerweile gelten die meisten E-Mail-Systeme Spamfilter automatisch. Hierbei handelt es sich um Blacklisting-Systeme, die umfangreiche Mailings von einer Domain oder E-Mail-Adresse erkennen. Spamfilter leiten identifizierte E-Mails in den Spam-/Junk-Ordner um oder blockieren vollständig den Download dieser E-Mails in den Client.
Die Macher von Locky haben dieses Problem durch die Entwicklung umgangen das Botnetz . Sowohl die Hackergruppe als auch das Botnetz werden aufgerufen Necurs . Ein Botnetz besteht aus mehreren privaten Computern, die mit einem Virus infiziert wurden. Jedes Gerät im Botnetz wird als „ Zombie .“ Der Virus öffnet regelmäßig eine Verbindung zu einem „ Steuerung und Kontrolle ”Server ( C&C ), der ihnen Anweisungen gibt, was zu tun ist.
Necurs nutzt sein Botnetz zum Versenden von E-Mails. Es gibt Millionen von Computern im Botnetz. Bei diesen Computern kann es sich um große Unternehmensserver handeln, weshalb Necurs über eine große Kapazität verfügt. Spamfilter schwarze Liste Quell-IP-Adressen und Domänennamen, die eine große Anzahl von E-Mails versenden. Indem Necurs sich auf die Aufgabe des E-Mail-Versands konzentriert, umgeht es diesen Filter. Die in diesen E-Mails angegebenen Quelldomains sind in der Regel gefälscht – es ist keine Antwort des Empfängers erforderlich, es reicht aus, den Anhang zu öffnen.
Wie funktioniert die Locky-Ransomware?
Dieselbe Spam-E-Mail, in der es um eine unbezahlte Rechnung geht, wird an Hunderttausende Empfänger verschickt. Die E-Mail hat ein Word-Dokument als Anhang, und die Nachricht der E-Mail ermutigt den Empfänger, sie zu öffnen. Der Inhalt des Dokuments ist unverständlich – nur ein Durcheinander von Zeichen. In einem Popup wird erklärt, dass das Dokument verschlüsselt wurde und dass es durch Drücken einer Schaltfläche im Popup entschlüsselt wird.
Die Schaltfläche im Dokument-Popup aktiviert die Makros in der Datei. Diese fungieren als Downloader, der eine Verbindung zum C&C-Server herstellt und ein Installationsprogramm herunterlädt. Damit verfügt die Necurs-Gruppe über einen Agenten auf diesem Computer. Das Gerät kann als Teil des Botnetzes verwendet oder mit der Locky-Ransomware infiziert werden.
Der Locky-Code wird nicht als Datei kopiert. Stattdessen wird es direkt geladen Erinnerung . Das Installationsprogramm sucht regelmäßig nach dem laufenden Prozess. Wenn es ihn nicht finden kann, lädt es das Programm herunter und führt es erneut aus. Das bedeutet, dass das Locky-Programm nicht auf dem Computer installiert sein muss, um zu funktionieren. Dies macht eine der Standarderkennungsmethoden von zunichte Antimalware . Allerdings muss das Installationsprogramm selbst auf dem Computer gespeichert sein, damit ein Indikator identifiziert werden kann. Das Installationsprogramm lädt außerdem einige TXT- und BMP-Dateien herunter, die bei der Lösegeldforderung verwendet werden.
Locky verbreitet sich nicht. Es beginnt einfach sofort mit der Verschlüsselung von Dateien auf dem Computer, auf dem es installiert ist. Der Verschlüsselungsprozess ändert jeden Dateinamen so, dass er eine ID erhält, die aus 16 Zeichen besteht und sowohl Zahlen als auch Buchstaben enthält. Die verschlüsselte Datei hat eine andere Erweiterung. Die erste Version von Locky verwendete die Erweiterung .locky. Spätere Versionen und Varianten verwendeten die folgenden Erweiterungen für verschlüsselte Dateien:
- .zepto
- .odin
- .Scheisse
- .thor
- .Asen
- .zzzzzz
- .Osiris
Die letzte Version der Ransomware erschien im Dezember 2016 unter Verwendung von .Osiris Verlängerung.
Die Locky-Lösegeldforderung
Locky verschlüsselt Dateien mit zwei Chiffren. Diese sind AES Verschlüsselung mit einem 128-Bit-Schlüssel und RSA Verschlüsselung mit einem 2048-Bit-Schlüssel. Die Schlüssel werden auf dem Necurs-Server generiert und an die Locky-Malware gesendet. Sie werden zusätzlich mit einem Referenzcode gespeichert.
Die Verschlüsselung betrifft nur Datendateien – Dateien, die zur Identifizierung eines Indikators Text, Bilder, Video oder Audio enthalten. Es wird nicht verschlüsselt ausführbar Dateien. Dies ist wichtig, da Sie den Computer dann weiterhin verwenden können. Die Hacker wollen, dass Sie von diesem Computer aus bezahlen, also wollen sie ihn nicht deaktivieren. Die Ransomware ändert den Hintergrund des Desktops des infizierten Computers, um ihn anzuzeigen die Lösegeldforderung . Diese Notiz ist auch in einer auf den Computer kopierten Textdatei verfügbar.
In den Anweisungen wird das Opfer aufgefordert, den Tor-Browser zu installieren und damit auf die Necurs-Website zuzugreifen. Die Notiz enthält außerdem eine eindeutige ID, die den Treffer referenziert und den korrekten Entschlüsselungsschlüssel extrahiert, sobald das Lösegeld bezahlt wurde. Das Opfer muss die Angriffs-ID und den Bitcoin-Code in ein Formular auf der Necurs-Website eingeben. Ein Entschlüsseler mit dem darin eingebetteten Entschlüsselungsschlüssel wird dann per E-Mail versendet.
Einige Ransomware-Programme bieten, sei es durch schlechte Programmierung oder absichtlich, keine Möglichkeit, Dateien wiederherzustellen. Zum Glück tut Locky das. Wer das Lösegeld zahlt, kann wieder Zugriff auf alle seine Dateien erhalten.
Varianten der Locky-Ransomware
Es gab mehrere Updates für Locky, die die Funktionsweise der Ransomware veränderten und an den verschiedenen Erweiterungen für verschlüsselte Dateien identifiziert werden können. Abgesehen von programmatischen Änderungen der Necurs-Gruppe waren zwei Varianten im Umlauf, die Necurs nicht unbedingt hervorgebracht hat.
PowerLocky
PowerLocky ist eine Mischung aus zwei Ransomware-Systemen: Locky Und PowerWare . Diese auf Verschlüsselung basierende Erpressungssoftware wird verteilt, während eine ausführbare .NET-Datei geschrieben wurde Power Shell . Es verlangt ein Lösegeld von 0,75 Bitcoin, was zum Zeitpunkt, als das System im Juli 2016 aktiv war, 500 US-Dollar wert war. Heute beträgt der Bitcoin-Wert 29.600 US-Dollar.
Wie der ursprüngliche Locky ändert PowerLocky die Namen aller verschlüsselten Dateien und fügt ihnen die Erweiterung .locky hinzu. Der PowerLocky Lösegeldforderung ist eine exakte Kopie dessen, was Locky verwendet hat.
Sperren
Sperren tauchte im August 2017 auf. Das Necurs-Botnetz verbreitete diese Variante von Locky auch als Anhang zu einem Massen-E-Mail-Versand. „ Sperren „ist finnisch für „ Verriegelung .“ Bei der Lukitus-Kampagne handelte es sich bei dem Anhang um eine .zip- oder .rar-Archivdatei, in die der infizierende Code eingeschrieben war JavaScipt oder VBScript .
Infizierte Dateien erhalten die Erweiterung .lukitus. Nach Abschluss der Verschlüsselungsaufgabe wird die primäre ausführbare Datei entfernt.
So schützen Sie sich vor Locky-Ransomware
Eine ermutigende Neuigkeit ist, dass Locky dank der Bemühungen des Microsoft-Rechtsteams keine nennenswerte Bedrohung mehr darstellt. Microsoft hat die C&C-Server aufgespürt und ihren Hosts mit rechtlichen Schritten gedroht, was sie dazu veranlasste Entfernen Sie diese Konten im März 2020. Obwohl die Necurs-Botnet-Malware immer noch auf Millionen von Computern vorhanden ist, sind die für die Befehlsabfrage fest in sie codierten IP-Adressen nicht mehr vorhanden. Als Microsoft ins Messer stürzte, hatte Necurs die Kontrolle mehr als 9 Millionen Zombie-Computer.
Trotz dieser guten Nachrichten kann man sich mit Necurs und Locky nicht zufrieden geben – sie könnten ganz einfach zurückkehren.
Die beste Verteidigung gegen Locky ist Benutzer aufklären gegen das Öffnen von Anhängen in E-Mails von Personen, von denen sie noch nie gehört haben. Es ist auch wichtig, dass Sie Ihre gesamte Software vollständig behalten auf dem Laufenden um Exploits zu stoppen und Ihr System vor allen Arten von Malware zu schützen. Sie sollten es auch umsetzen eine Backup-Strategie die Dateien von jedem Endpunkt separat verarbeitet und speichert, um Kreuzinfektionen zu vermeiden.
Sie können einige hervorragende Tools kaufen und installieren, um Locky und alle anderen Ransomware-Marken zu blockieren. Hier sind zwei, die wir empfehlen.
1. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)
CrowdStrike Falcon Insight ist ein Paket von Cybersicherheitstools, das sowohl On-Site- als auch Cloud-Elemente umfasst. Der Vor-Ort-Teil dieses Systems ist ein Agentenprogramm, das auf jedem Endpunkt installiert wird. Hierbei handelt es sich um einen vollständigen Endpunkterkennungs- und Reaktionsdienst, den CrowdStrike auch als eigenständiges Paket namens „ Falcon Prevent .
Falcon Prevent ist so umfassend, dass es ein Gerät auch dann weiterhin schützen kann, wenn vom Netzwerk isoliert und kann den Insight-Controller in der Cloud nicht kontaktieren. Durch die Kommunikation zwischen Prevent und Insight werden Aktivitätsberichte hochgeladen und Anweisungen heruntergeladen. Das Insight-System analysiert Aktivitätsberichte nach den neuesten Bedrohungsinformationen. Das Design sucht eher nach anomalen Aktionen als nach bestimmten Dateien. Dies ist die perfekte Erkennungsmethode für Locky, die keine ausführbare Datei auf dem Zielgerät ablegt. Der Endpoint-Agent führt diese Erkennungsmethode auch aus, sodass Locky keinen Einblick erhält.
Sanierungsmaßnahmen Dazu gehört die Isolierung des Geräts vom Netzwerk, damit sich Infektionen nicht ausbreiten können. Das System kann auch ein Herunterfahren des Geräts, eine Löschung und eine Wiederherstellung aus dem Backup anordnen. Während Locky sich nicht darauf verlässt Benutzerkonten , andere Ransomware schon. Falcon Insight kann verdächtige Benutzerkonten sperren und den Zugriff auf IP-Adressen und Domänen auf der schwarzen Liste blockieren.
Falcon Insight wird von CrowdStrike unterstützt Forschungslabore und Ereignisaufzeichnungen von anderen CrowdStrike-Kunden. Das Koordinierungssystem von Insight kann Bedrohungsinformationen an alle Geräte im Netzwerk weiterleiten, sodass alle anderen in Alarmbereitschaft sind, sobald ein Endpunkt getroffen wird.
Sie können eine bekommen15-tägige kostenlose Testversionvon Falcon Prevent.
CrowdStrike Falcon Insight starten Sie die 15-tägige KOSTENLOSE Testversion
zwei. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus ist ein Schutzsystem für sensible Daten. Dies ist besonders nützlich für Unternehmen im Gesundheitssektor, der ein Hauptziel von Locky war. Unternehmen folgen HIPAA Sie müssen sicherstellen, dass alle Patientendaten für eine angemessene Verwendung zugänglich sind und nicht offengelegt werden. Es gelten die gleichen Regeln für PCI DSS Und DSGVO . Die im Paket enthaltenen Funktionen zur Aktionsprotokollierung eignen sich für die Prüfung der Einhaltung von Standards.
DataSecurity Plus durchsucht zunächst das System und zeichnet alle Standorte der Datenspeicher auf. Es dokumentiert diese und scannt dann jede Filiale und kategorisiert die dortigen Daten. Dadurch kann der Dienst den Schutz auf sensible Daten konzentrieren. Der Monitor überwacht dann die Dateien, die diese Daten enthalten, und verhindert, dass sie manipuliert werden. Das System überwacht auch E-Mails Und USB-Geräte um zu verhindern, dass Viren eindringen und Daten herauskommen.
Das Dateischutzsystem heißt a Dateiintegritätsmonitor ( DAS ENDE ). Dies löst eine Warnung aus, wenn in einer überwachten Datei eine nicht autorisierte Änderung auftritt. Der erste Verschlüsselungsversuch von Locky würde also eine Benachrichtigung auslösen.
Das System kann so eingerichtet werden, dass Abhilfemaßnahmen automatisch durchgeführt werden. Beispiele für solche Arbeitsabläufe sind das Herunterfahren eines infizierten Endpunkts, Daten wiederherstellen durch Backups, das Beenden von Prozessen und das Sperren von Benutzerkonten.
Diese Software wird installiert auf Windows Server und schützt Computer, auf denen das Windows-Betriebssystem läuft – die Ziele von Locky.
ManageEngine DataSecurity Plus ist für a verfügbar 30-tägige kostenlose Testversion .