بازگشت باج افزار Locky!

۱۳۹۶/۶/۱ - ۱۳:۱۷

باج ­افزار Locky در نوع جدید خود پسوند فایل­ های رمز شده را به .Lukitus  تغییر می ­دهد.

اولین بار نیست که این باج ­افزار پنهان شده و بعد از مدتی دوباره ظاهر می ­شود. نوع جدید باج­ افزار Locky از طریق ایمیل­ های اسپم پخش می ­شود. عنوان این ایمیل­ ها به صورت <No Subject> یا Emailing - CSI-034183_MB_S_7727518b6bab2 است و حاوی فایل­ های جاوا اسکریپتی هستند که  با پسوند zip یا rar پیوست ­شده ­اند.

شکل ۱ ایمیل اسپم

زمانی که این فایل­ ها اجرا شوند، فایل اجرایی Locky را از یک سایت راه ­دور دانلود می­ کنند. یکبار که این فایل دانلود و اجرا شود، سیستم را برای یافتن فایل­ ها اسکن کرده و پس از یافتن آنها را رمز می­ کند. بعد از رمزکردن فایل­ ها نامشان را تغییر داده و پسوند .lukitus را به آنها اضافه می­ کند. Lukitus یک کلمه فنلاندی به معنای قفل­ کردن است. Locky برای تغییر نام فایل­ ها از فرمت زیر استفاده می ­کند:

[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].lukitus.‎

به این صورت که نام فایل ۱.png پس از رمزشدن مثلاً چیزی به صورت E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.lukitus می­ شود.

شکل ۲ فایل های رمز شده توسط باج افزار

باج ­افزار Locky بعد از رمزگذاری فایل­ های کامپیوتر، فایل اجرایی دانلودشده را حذف کرده و متن باج­ خواهی خود را که حاوی اطلاعاتی در مورد نحوه پرداخت باج است، نمایش می ­دهد. نام این فایل در نسخه جدید به lukitus.htm و lukitus.bmp تغییر کرده ­است.

متاسفانه در حال حاضر هنوز رمزگشایی فایل­ های .lukitus بدون پرداخت باج ممکن نیست. برای محافظت از خود در برابر این باج ­افزار و سایر باج ­افزارها اولین اقدام داشتن نسخه پشتیبان مطمئن و تست­ شده ­ای از اطلاعات است که در وضعیت اورژانسی نظیر حمله باج­ افزارها قابل بازیابی باشد. مطمئن شوید که در هنگام انجام فعالیت­ های آنلاین همواره این اقدامات مفید را انجام می دهید:

  • تهیه نسخه پشتیبان را فراموش نکنید.
  • پیوست­ های ایمیلی که فرستنده آنها را نمی­ شناسید، باز نکنید.
  • تا قبل از اینکه مطمئن شوید شخص موردنظر خودش ایمیل را فرستاده، پیوست­ ها را باز نکنید.
  • پیوست ­های ایمیل را با ابزارهایی نظیر VirusTotal اسکن کنید.
  • مطمئن شوید که تمام بروزرسانی­ های مایکروسافت به محض انتشار روی سیستم شما نصب شوند. هم­چنین مطمئن شوید که تمام برنامه­ ها بروزرسانی شوند. به خصوص Java، Flash و Adobe Reader.
  • مطمئن شوید که از برنامه­ های امنیتی مناسبی استفاده می­ کنید.
  • از رمزعبورهای پیچیده استفاده کنید و هرگز برای سایت ­های مختلف از یک رمزعبور استفاده نکنید.

برای راهنمایی بیشتر می­ توانید به این مقاله رجوع کنید.

 

منابع:

https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-the-lukitus-extension-for-encrypted-files/‎

http://www.zdnet.com/article/locky-ransomware-is-back-from-the-dead-again-with-new-diablo-variant/‎