Locky Ransomware, cos’é e come reagire

Un esordio virulento quello del 2020, per diversi motivi. Tra le minacce virus attualmente in corso, due in particolare hanno messo in allarme il nostro SOC security: Ryuk Ransomware e Locky Ransomware.

In questo articolo vi insegneremo a riconoscere l’infezione Locky, quali comportamenti tenere di fronte al crypto virus e perché dovete assolutamente porre attenzione al suo operato criminale.

Locky nasce nel 2006 come crypto virus. Ad oggi, non esiste una cura anti ransomware capace di mettere in salvo un computer già infetto da Locky, ma le aziende possono prevenire l’infezione malware.

Locky si diffonde tra le sue vittime con attacchi mirati tramite e-mail. 

Il Ransomware sceglie la via più ovvia e più semplice per colpirvi: un messaggio di posta elettronica. L’email Locky contiene quasi sempre un allegato nello specifico: un documento Microsoft Word. In realtà il documento Word Locky, contiene un software ransomware.

Nel momento esatto in cui l’utente apre l’email e clicca due volte sull’allegato Locky, il ransomware s’installa all’interno del pc e comincia l’infezione.

Locky agisce velocemente nel seguente modo: grazie alla sua tecnica infallibile il virus inizierà a crittografare tutti i file presenti sul vostro computer (passando in un secondo momento a quelli presenti nella rete aziendale), I nomi dei vostri file vengono cambiati in una sequenza di 16 o 32 numeri e caratteri.

Aprirli, modificarli e persino cancellarli: ogni azione d’ora in poi sarà impossibile per l’utente.

Locky vi restituisce i vostri file cambiandone i nomi e apponendo una personale estensione: che per voi sarà chiaramente illeggibile. Attualmente i formati di file conosciuti crittografati da Locky sono:

• .locky
• .zepto
• .odin
• .aesir
• .thor
• .zzzzz.

Per voi sarà semplice riconoscere se si tratta del Ransomware Locky dall’estenzione dei file crittografati o dal messaggio di riscatto.

Locky, così come qualsiasi altro ransomware vi pone davanti ad una decisione da prendere.

1. Lasciare che i vostri file siano persi per sempre;
2. Pagare un riscatto in Bitcoin e sperare che il crypto virus vi restituisca una chiave di lettura per riavere i vostri file.

La scelta dipende unicamente da voi. 

Ad ogni modo, Locky vi metterà a disposizione delle istruzioni dettagliate per poter pagare il riscatto. Il Ransomware vi manderà un file _Locky_recover_instructions.txt. State tranquilli, non correrete certo il rischio di perdere le istruzioni. Infatti, Locky posizione un file di _Locky_recover_instructions in ognuna delle cartelle dei file crittografati.  Le istruzioni per il pagamento del riscatto conterranno del semplice testo scritto che contiene quanto segue:

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. hxxp://6dtxxxxm4crv6rr6.tor2web.org/07Bxxx75DC646805
2. hxxp://6dtxxxxgqam4crv6rr6.onion.to/07Bxxx75DC646805
3. hxxp://6dtxxxxgqam4crv6rr6.onion.cab/07Bxxx75DC646805
4. hxxp://6dtxxxxgqam4crv6rr6.onion.link/07Bxxx75DC646805

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxxxxm4crv6rr6.onion/07Bxxx75DC646805
4. Follow the instructions on the site.
!!! Your personal identification ID: 07Bxxx75DC646805 !!!

Il messaggio Ransomware sostanzialmente dice che il crypto virus ha criptato i vostri file con una chiave (RSA-2048 e AES-128). La decriptazione dei file è possibile soltanto tramite chiave segreta (tale Locky decrypter) che vi costerà del denaro.

Locky solitamente richiede il pagamento di riscatto per i file in un range che va dagli 0,5 e 1 bitcoin. Ad oggi, il riscatto Locky è costato anche 17.000 dollari ad alcune aziende.

Vi anticipiamo che purtroppo il pagamento il cripto-valute è assolutamente anonimo. Non esistono banche o intermediari finanziari pertanto, la maggior parte dei Ransomware che richiedono il pagamento in moneta virtuale non sono rintracciabili.

In questo articolo non troverete risposte giuste ma vi metteremo nelle condizioni di fare la scelta migliore per voi.

Una volta che sarete stati infettati dovrete decidere se pagare il ransomware o semplicemente bonificare i vostri computer e sperare che la vostra azienda abbia a disposizione dei backup recenti dei file.

Vi mettiamo al corrente di una cosa che forse saprete già: pagare il riscatto ransomware non vi assicura la restituzione dei file. 

Pertanto, se avete a disposizione un backup dei dati recente e sicuro: ciò che vi consigliamo di fare è:

• rimuovere il crypto virus
• ripristinare il sistema operativo (pulito)
• contattare un esperto cyber security che possa mettere in sicurezza la vostra rete
• ripristinare i dati da backup sicuri.

Locky Ransomware  – Se una azienda si trova tutti i file crittografati, l’obiettivo sarà quello di recuperare i file bloccati dal crypto ransomware. 

Se sospettate di essere attaccati dal Cryptovirus dovete agire velocemente e compiere due azioni fondamentali.

1. Spegnere immediatamente il computer o il dispositivo infetto e scollegate immediatamente tutti i cavi di rete
2. Chiamare immediatamente un esperto in sicurezza informatica e spiegare la situazione.

In questo modo avrete immediatamente arginato i danni dell’attacco per due motivi: avrete evitato che l’infezione possa espandersi anche nel resto dei computer connessi alla vostra rete e vi sarete messi nelle mani di un vero specialista cyber security, capace di consigliarvi la migliore soluzione per recuperare (se possibile) i file crittografati.

Ci auguriamo che leggerai il nostro articolo per farti una cultura ransomware e non perché ti trovi nel bel mezzo di un’emergenza informatica.

Pertanto, qui ti consigliamo come proteggere il tuo computer e tutta la tua azienda da questo genere di attacchi informatici. Per respingere gli attacchi Locky dovrai occuparti di affrontare due step fondamentali:

• Vulnerability Assessment & Penetration Test
• Protezione perimetrale informatica.

Grazie a questi due servizi saremo in grado di fare due cose ben distinte: verificare lo stato di sicurezza attuale del tuo sistema informatico e conoscere i tuoi talloni d’Achille ovvero: i punti vulnerabili dai quali entrano i Ransomware come Locky. Solo dopo aver effettuato un’analisi saremo in grado di mettere in sicurezza la tua struttura informatica.

Per la protezione da Locky virus più incisiva non può quindi prescindere dall’affidarsi ad un SOC (Security Operations Center) come Onorato Informatica.

Qualsiasi guida che troverete online per rimuovere il virus in modo gratuito e faidate potrebbe generare problemi seri.

Non dimenticatevi che nelle vostre mani avete un business che vale diverse centinaia di migliaia di euro, ogni passo falso mette in serio pericolo il lavoro di una vita intera: la vostra azienda merita tutta l’attenzione e la protezione che potete fornirgli.

Onorato Informatica è un’azienda specializzata in sicurezza informatica dal 2006. Siamo un’azienda informatica italiana di Mantova, Parma, Milano e Los Angeles. Onorato Informatica è certificata ISO 9001 e ISO 27001 e nell’oggetto delle certificazioni sono inseriti anche i servizi di Vulnerability Assessment e Penetration Testing.

Contattaci per avere tutte le informazioni sul servizio cyber security.

Sappiamo con certezza che il Ransomware Locky si propaga da utente a utente non solo attraverso documenti Microsoft Word ma anche attraverso file con la seguente estensione: .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Un’ulteriore variante del ransomware Locky è stata diffusa nel territorio italiano.
Si tratta di Ransomware Zepto o Virus Zepto. Il nostro team SOC ha diramato un avviso a tutte le aziende. Per approfondire ulteriormente leggete il nostro articolo, qui.