لاکی یا Locky یک باج افزار مخرب است که پس از آلوده کردن سیستم قربانی درخواست پرداخت وجه می کند و فایل های قربانی را رمزنگاری می کند، در این مقاله شما را باج افزار لاکی آشنا خواهیم کرد، همراه داتیس نتورک باشید.
باج افزار Locky چیست؟
باج افزار مخرب Locky از طریق هرزنامههایی با عنوان Status of invoice در حال انتشار است که پسوند فایلهای رمزگذاری شده را به ykcol. تغییر میدهد.
باج افزار Locky این باج افزار یکی از انواع بدترین نوع باج افزارها بوده که علاوه بر اینکه در حالت آفلاین عمل می کند در صورت اتصال به اینترنت، خود را با مرکز کنترل اصلی خود متصل کرده و فرمانهای جدید را از این طریق از اتاق فرمان دریافت می کند و آپدیت می شود.
آفلاین عمل کردن این باج افزار، این حسن را برای آن دارد که از دید مراجع قانونی و تحلیلگران در امان باشد.
ولی نقطه منفی آن برای اتاق فرمان این است که نمی تواند آمار دقیقی از قربانیان برای کارفرمای خود ارسال کند.
این باج افزار در نسخه قدیمی پس از رمزگذاری ، پسوند فایل ها را به ZEPTO تغییر می داد که در نسخه جدید به .ODIN تغییر یافته است.
الگوریتم رمزگذاری AES-1024 که کلید خصوصی آن در بر روی سرور از راه دور توسط مجرمان اینترنتی ذخیره شده و برای رمزگشایی مورد نیاز است و برای رمزگشایی فایل ها، قربانیان باید باج پرداخت.
باج افزار Locky چگونه کار می کند؟
پس از رمزگذاری فایل ها، فایل HELPinstructions.html در هر پوشه حاوی فایل های رمزگذاری شده ایجاد می شود و علاوه بر این، این ransomware تصویر زمینه دسکتاپ را تغییر می دهد.
هر دو فایل های متنی و تصویر زمینه حاوی همان پیام است که کاربران از رمزگذاری اطلاع پیدا کنند و در آن به قربانیان گفته خواهد شد که فایل ها تنها می توانند با استفاده از یک decrypter توسعه یافته توسط مجرمان اینترنتی و پرداخت هزینه 0.5 بیتکوین رمزگشایی شود (در زمان پژوهش، 0.5 BTC معادل 207.63 $ بود).
برای ادامه، قربانی باج افزار Locky باید مرورگر Tor را نصب کند و طی مراحلی که گام به گام صورت می گیرد عمل رمزگشایی انجام خواهد شد.
در حال حاضر، هیچ ابزار قادر به رمز گشایی فایل های آسیب دیده توسط این باج افزار نیستند و تنها راه حل برای این مشکل این است که، برای بازگرداندن فایل های خود از یک نسخه پشتیبان استفاده کنید.
نمونه هایی زیادی از باج افزارهایی که مشابه باج افزار فوق عمل کنند در سراسر اینترنت وجود دارند مانند Cryptowall، JobCrypter، UmbreCrypt، TeslaCrypt که تنها تفاوت آنها در اندازه باج و نوع الگوریتم مورد استفاده برای رمزگذاری فایل ها می باشد.
تحقیقات همچنین نشان می دهد که هیچ تضمینی وجود ندارد که فایل های خود را تا به حال حتی پس از پرداخت باج رمزگشایی شود.
تنها با پرداخت، به سادگی از باج افزار Locky حمایت کرده اید بنابراین، شما هرگز نباید باج پرداخت کنید و یا تلاشی برای تماس بگیرید.
راهکارهای حفاظتی
- ایمیل هایی را که به آنها اعتماد ندارید باز نکنید!
- ماکرو را روی اسناد دلخواه فعال نکنید!
- قوانین فایروال خود را تنظیم کنید
- پشتیبان گیری فایل ها و بروز رسانی نرم افزارها به صورت مکرر انجام گردد
- (Disaster Recovery as a Service (DRaaS
- نرم افزار امنیتی خود را به روز نگه دارید
توجه داشته باشید نرم افزارهای مخربی مانند این باج افزار بطور معمول از طریق به روز رسانی جعلی نرم افزار، شبکه های P2P، پیوست های ایمیل های مخرب و تروجان ها توزیع شده اند.
بنابراین، بسیار مهم است که احتیاط کامل در هنگام باز کردن پیوست های ایمیل های ارسال شده از آدرس های مشکوک داشته باشید و از ضد جاسوس افزار یا آنتی ویروس معتبر و به روز استفاده کنید.