Locky Ransomware: Blijf beschermd tegen e-mailbedreigingen

Locky ransomware verscheen in 2016 en werd al snel een grote bedreiging. Het versleutelde bestanden op de computer van het slachtoffer en eiste vervolgens betaling in Bitcoin om ze te ontgrendelen. Hoewel Locky al bijna tien jaar oud is, is het nog steeds belangrijk om te begrijpen hoe het werkt. Er zijn nog steeds varianten in omloop, oude infecties kunnen op systemen achterblijven en de phishing-trucs die het introduceerde, worden nog steeds gebruikt door de huidige ransomwaregroepen.

Wat Locky bijzonder gevaarlijk maakt, is de connectie met de cybercriminaliteitsgroep achter de Dridex-banktrojan (ook bekend als Evil Corp of TA505) en de enorme verspreiding via het Necurs-botnet. Op het hoogtepunt infecteerde Locky-ransomware wereldwijd duizenden organisaties, wat leidde tot grootschalig gegevensverlies en verstoringen voor ziekenhuizen, banken en kleine bedrijven.

Hoewel het landschap van e-mailbeveiliging tegenwoordig is geëvolueerd, blijven de tactieken die Locky gebruikte, waaronder vervalste afzenderadressen, kwaadaardige bijlagen en social engineering, fundamenteel voor ransomware-aanvallen. Sterke e-mailbeveiliging en authenticatieprotocollen zijn essentiële eerste verdedigingslinies tegen deze bedreigingen.

Wat is Locky-ransomware?

Locky ransomware is een crypto-ransomwarevariant die bestanden op geïnfecteerde systemen versleutelt, waardoor ze ontoegankelijk worden totdat er losgeld wordt betaald. In tegenstelling tot malware die gegevens steelt, richt Locky zich uitsluitend op bestandsversleuteling, waarbij krachtige cryptografische algoritmen worden gebruikt om documenten, afbeeldingen, databases en back-ups te vergrendelen.

Zodra de versleuteling is voltooid, eist Locky betaling in Bitcoin, meestal tussen 0,5 en 1 BTC, en biedt het een op Tor gebaseerd betalingsportaal waar slachtoffers zogenaamd decoderingssleutels kunnen kopen. Het betalen van het losgeld biedt echter geen garantie voor het herstel van bestanden en beveiligingsexperts raden dit algemeen af.

Zorginstellingen behoorden tot de belangrijkste doelwitten van Locky, waarbij ziekenhuizen, medische praktijken en gezondheidszorgsystemen te maken kregen met ernstige verstoringen. Een opvallend voorbeeld is het Hollywood Presbyterian Medical Center, dat 17.000 dollar in Bitcoin betaalde na een Locky-infectie in februari 2016. De ransomware maakt geen onderscheid naar de grootte van de organisatie, aangezien kleine bedrijven met beperkte cyberbeveiligingsmiddelen net zo kwetsbaar bleken te zijn als grotere ondernemingen.

Locky maakt gebruik van verschillende geavanceerde ontwijkingstechnieken, waaronder versleutelde JavaScript-payloads, dynamische command-and-control-serveradressen en snelle variantenreleases om op handtekeningen gebaseerde detectie te omzeilen. Dankzij deze methoden bleef het virus effectief, zelfs toen beveiligingsleveranciers hun verdedigingsmechanismen bijwerkten.

Belangrijke varianten

Locky ontwikkelde zich snel tot vele varianten, elk gebouwd om detectie te vermijden en meer slachtoffers te bereiken. Deze versies zijn voornamelijk te herkennen aan de bestandsextensies die ze achterlaten:

• .locky – Originele variant die in februari 2016 werd gelanceerd
• .zepto – Uitgebracht in juni 2016 met verbeterde anti-analysefuncties
• .odin – Oktober 2016-variant met RSA- en AES-versleuteling
• .thor – november 2016 met verbeterde versluiering
• .osiris – december 2016 met vernieuwde C2-infrastructuur
• .aesir – Variant uit begin 2017 met snellere versleutelingsroutines
• .lukitus – 2017 heropleving variant verspreid via valse facturen

Elke variant introduceerde subtiele wijzigingen om detectie door op handtekeningen gebaseerde antivirusprogramma's te omzeilen, terwijl de kernmechanismen voor infectie en versleuteling behouden bleven. Door de snelle releasecyclus (soms wekelijks) was het voor beveiligingsleveranciers moeilijk om nieuwe samples bij te houden.

Hoe Locky-ransomware werkt

Inzicht in de infectiecyclus van Locky helpt organisaties om effectieve verdedigingsmechanismen te ontwikkelen voor elke fase van de aanvalsketen.

1. Levering

Locky wordt verspreid via grootschalige kwaadaardige spamcampagnes die zijn ontworpen om eruit te zien als legitieme zakelijke communicatie. Deze e-mails doen zich voor als facturen, betalingsherinneringen, leveringsbewijzen of orderbevestigingen van bekende merken.

Bijlagen zijn meestal Word-documenten (.doc, .docm), Excel-spreadsheets (.xls, .xlsm) of ZIP-archieven met JavaScript- (.js) of Visual Basic Script-bestanden (.vbs). Het Necurs-botnet verspreidde miljoenen van deze e-mails toen Locky op zijn hoogtepunt was. Beveiligingsonderzoekers constateerden dat er campagnes waren met honderden miljoenen berichten, waardoor spamfiltersystemen met hun enorme omvang.

Aanvallers gebruikten e-mailspoofing om het afzenderadres te vervalsen, waardoor de berichten leken alsof ze afkomstig waren van vertrouwde contacten. Zonder de juiste e-mailverificatieprotocollen zoals SPF, DKIM en DMARC, hadden ontvangers geen betrouwbare manier om de authenticiteit van berichten te verifiëren.

2. Macro's inschakelen

Wanneer slachtoffers het schadelijke bestand openen, zien ze onleesbare tekst en een bericht waarin hen wordt gevraagd "Macro's inschakelen om inhoud te bekijken" of "Bewerking inschakelen om document weer te geven."

Deze social engineering-truc maakt misbruik van het vertrouwen van gebruikers en hun verlangen om belangrijke zakelijke informatie te bekijken. Microsoft Office schakelt macro's standaard uit om veiligheidsredenen, maar de makers van Locky hebben overtuigende lokmiddelen ontwikkeld om gebruikers te misleiden en hen ertoe te brengen macro's handmatig in te schakelen.

Zodra macro's zijn ingeschakeld, worden ingebedde scripts stilzwijgend op de achtergrond uitgevoerd (vaak binnen milliseconden) voordat gebruikers doorhebben dat er iets mis is.

3. Malware downloaden

Wanneer macro's zijn ingeschakeld, maakt het script verbinding met een command-and-control (C2)-server en downloadt het de echte Locky-ransomware. Deze tweestapsmethode helpt aanvallers om detectie te voorkomen, omdat de e-mailbijlage alleen een kleine downloader bevat en niet de volledige ransomware.

De C2-serveradressen veranderen vaak, soms elk uur, waardoor het voor beveiligingstools moeilijk is om ze te blokkeren. De ontwikkelaars van Locky gebruikten algoritmen voor het genereren van domeinen (DGA's) om honderden potentiële C2-domeinen te creëren, zodat zelfs als sommige werden geblokkeerd, andere toegankelijk bleven.

4. Versleuteling

Na het downloaden begint Locky onmiddellijk met het versleutelen van bestanden met behulp van een combinatie van RSA-2048 (voor sleutelversleuteling) en AES-128 (voor bestandsversleuteling). Deze hybride aanpak zorgt ervoor dat bestanden niet kunnen worden ontsleuteld zonder de privésleutel van de aanvaller.

Locky richt zich op verschillende bestandstypen, waaronder documenten (.doc, .pdf, .txt), afbeeldingen (.jpg, .png), databases (.sql, .mdb), broncode (.php, .java) en back-ups (.bak). Het versleutelt niet alleen lokale schijven, maar ook toegewezen netwerkshares en aangesloten externe opslagapparaten.

Na versleuteling worden bestanden hernoemd met unieke identificatiecodes en variant-specifieke extensies. Bijvoorbeeld: document.docx kan worden gewijzigd in A4B2C8D1-E5F6-7890-1234-56789ABCDEF0.locky, waardoor het onmogelijk is om de oorspronkelijke bestandsnamen te achterhalen zonder de decoderingssleutel.

5. Losgeldbrief

Nadat de versleuteling is voltooid, plaatst Locky zijn losgeldbrief op meerdere locaties: als tekstbestanden met de naam _Locky_recover_instructions.txt in elke getroffen map en als bureaubladachtergrond. De brief bevat instructies voor toegang tot een op Tor gebaseerd betalingsportaal waar slachtoffers zogenaamd decoderingssleutels kunnen kopen.

De betaalpagina toont meestal een aftelling, vaak 72 uur, en waarschuwt dat de prijs zal stijgen of dat bestanden verloren kunnen gaan als het slachtoffer te lang wacht. Dit creëert een valse urgentie en zet mensen ertoe aan te betalen voordat ze hulp van beveiligingsexperts inroepen.

Hoe Locky-ransomware te voorkomen

Preventie is de enige betrouwbare verdediging tegen Locky. Voor de meeste varianten bestaan er geen openbare decryptors, wat betekent dat versleutelde bestanden definitief verloren zijn zonder back-ups of het betalen van losgeld.

Het is moeilijk om Locky in een vroeg stadium op te sporen, omdat nieuwere versies snel werken en hun code verbergen om traditionele detectietools te omzeilen. Daarom is preventie veel belangrijker dan het virus te pakken te krijgen nadat het al actief is.

Hier volgen enkele essentiële preventiemaatregelen:

• Implementeer e-mailverificatieprotocollen: Implementeer SPF, DKIM en DMARC om vervalste malspam te blokkeren voordat deze in de inbox terechtkomt. PowerDMARC biedt geautomatiseerde installatie, leesbare rapporten en realtime waarschuwingen voor bedreigingen, zodat authenticatie toegankelijk is voor organisaties van elke omvang.
• Schakel geavanceerde spamfiltering in: Gebruik beveiligde e-mailgateways met sandboxing voor bijlagen, herschrijven van links en gedragsanalyse om kwaadaardige e-mails op te sporen die authenticatiecontroles omzeilen.
• Macro's standaard uitschakelen: Configureer Microsoft Office om macro's in bestanden van internet uit te schakelen en digitale handtekeningen te vereisen voor vertrouwde macro's.
• Zorg voor regelmatige patches: Houd besturingssystemen, applicaties en beveiligingssoftware up-to-date met de nieuwste updates om bekende kwetsbaarheden te dichten.
• Train medewerkers in phishingbewustzijn: Geef regelmatig beveiligingstrainingen zodat werknemers leren verdachte e-mails te herkennen, onverwachte bijlagen te vermijden en nooit macro's in te schakelen in documenten die ze niet verwachtten.
• Offline back-ups bijhouden: Maak regelmatig offline back-ups van kritieke gegevens volgens de 3-2-1-regel (drie kopieën, twee mediatypen, één offsite).
• Implementeer eindpuntbeveiliging: Gebruik gerenommeerde anti-malwareoplossingen met gedragsanalyse, ransomware-specifieke detectie en automatische herstelmogelijkheden.

Locky is in wezen een aanvalsvector via e-mail. Organisaties die krachtige e-mailverificatie implementeren met tools zoals PowerDMARC's DMARC Checker, SPF Record Checkeren DKIM Checker kunnen hun authenticatieconfiguratie valideren en de blootstelling aan vervalste malspamcampagnes aanzienlijk verminderen.

Hoe Locky te verwijderen als u al geïnfecteerd bent

Als u een Locky-infectie vermoedt, kunt u door onmiddellijk actie te ondernemen verdere schade voorkomen en verspreiding naar andere apparaten tegengaan. Volg deze stappen zorgvuldig:

1. Isoleer het geïnfecteerde systeem onmiddellijk:verbreek de verbinding met het netwerk (koppel de ethernetkabel los en schakel wifi uit) om te voorkomen dat Locky toegang krijgt tot gedeelde schijven of zich verspreidt naar andere apparaten.
2. Externe opslag loskoppelen: Verwijder alle USB-sticks, externe harde schijven en toegewezen netwerkshares om back-upgegevens te beschermen tegen versleuteling.
3. Gebruik een schoon apparaat voor hersteltools:download betrouwbare antimalwaresoftware (Malwarebytes, Kaspersky Rescue Disk of iets dergelijks) van een niet-geïnfecteerde computer en zet deze over via een schone USB-stick.
4. Opstarten in veilige modus:Start het geïnfecteerde systeem opnieuw op in veilige modus met netwerkmogelijkheden om te voorkomen dat Locky tijdens het opstarten wordt geladen.
5. Voer een volledige systeemscan uit:voer uitgebreide anti-malwarescans uit om Locky-uitvoerbare bestanden, processen en registervermeldingen op te sporen en te verwijderen.
6. Betaal het losgeld niet:het betalen van losgeld financiert criminele activiteiten en biedt geen garantie voor het herstel van bestanden. Veel slachtoffers die hebben betaald, hebben nooit werkende decoderingssleutels ontvangen.

Belangrijke opmerking: Het verwijderen van Locky stopt verdere versleuteling en voorkomt verspreiding naar andere systemen, maar het decifreert reeds versleutelde bestanden niet. Voor het herstellen van bestanden zijn ofwel veilige back-ups nodig, ofwel de privé-decoderingssleutel van de aanvaller (die zelfs na betaling zelden wordt verstrekt).

Hoe u uw systemen kunt herstellen na een Locky-aanval

Het herstellen van het systeem na een Locky-aanval is volledig afhankelijk van veilige, geverifieerde back-ups. De meeste Locky-varianten maken gebruik van onkraakbare encryptie, waardoor versleutelde bestanden zonder back-ups definitief verloren gaan.

Organisaties moeten een gestructureerd herstelproces volgen om om te herstellen van een ransomware-aanval:

1. Controleer de integriteit van de back-up: Controleer vóór het herstellen of de back-ups volledig en onbeschadigd zijn en vrij van ransomware (test het herstel eerst op een geïsoleerd systeem).
2. Herstellen vanaf offline back-ups: Gebruik de meest recente schone back-up die is gemaakt voordat de infectie plaatsvond. Geef prioriteit aan bedrijfskritische gegevens en systemen.
3. Herstel gecompromitteerde machines: Voor ernstig geïnfecteerde systemen kan een volledige herinstallatie van het besturingssysteem veiliger zijn dan een poging om bestaande installaties op te schonen.
4. Alle inloggegevens resetten: Wijzig de wachtwoorden voor alle gebruikersaccounts, serviceaccounts en beheerdersgegevens. Controleer op ongeoorloofde toegangspogingen of aanwijzingen voor laterale bewegingen.
5. Implementeer verbeterde beveiligingsbeleidsregels: Voordat u systemen weer online brengt, moet u de beveiliging versterken om herinfectie te voorkomen. Dit omvat e-mailverificatie, eindpuntbeveiliging en netwerksegmentatie.
6. Controleer de e-mailbeveiliging: Controleer en verbeter de authenticatiecontroles voor e-mail. Zorg ervoor dat SPF, DKIM en DMARC correct zijn geconfigureerd om te voorkomen dat vervalste malspam opnieuw gebruikers bereikt.

Voor het overgrote deel van de Locky-varianten zijn geen openbare decryptors beschikbaar. Beveiligingsonderzoekers brengen af en toe gratis decryptietools uit voor oudere ransomwarevarianten, maar de versleuteling van Locky blijft voor de meeste varianten ongebroken. Preventie en back-upstrategieën zijn de enige betrouwbare verdedigingsmiddelen.

Locky's stappenplan voor betere beveiliging

Locky-ransomware is nog steeds een belangrijk voorbeeld om te begrijpen hoe ransomware zich heeft ontwikkeld en waarom gelaagde beveiliging essentieel is. Grote Locky-uitbraken zijn sinds 2017 afgenomen, maar de tactieken die het introduceerde, zoals massale verspreiding van malspam, social engineering via documenten met macro's en agressieve bestandsversleuteling, blijven van invloed op moderne ransomwarefamilies.

De belangrijkste les van Locky is duidelijk: preventie door middel van robuuste e-mailbeveiliging in combinatie met waakzaamheid van de gebruiker is uw sterkste verdediging. Organisaties kunnen niet vertrouwen op het detecteren van ransomware na infectie, omdat op dat moment kritieke bestanden mogelijk al versleuteld zijn.

De huidige beveiligingstools zijn veel beter in het tegenhouden van aanvallen via e-mail. Correct geconfigureerde DMARC, SPF en DKIM kunnen vervalste e-mails blokkeren die worden gebruikt om ransomware zoals Locky te verspreiden. AI-aangedreven dreigingsinformatie, op gedrag gebaseerde detectie en krachtige eindpuntbeveiliging voegen nog meer verdedigingslagen toe.

PowerDMARC helpt organisaties bij het opzetten van deze cruciale eerste verdedigingslinie met geautomatiseerde DMARC-implementatie, realtime dreigingswaarschuwingen en deskundige ondersteuning. Ons platform maakt e-mailverificatie toegankelijk voor bedrijven van elke omvang en biedt bescherming tegen spoofing, phishing-e-mailsen ransomware voordat bedreigingen de inbox van uw gebruikers bereiken.

Boek een DMARC-demo om te zien hoe PowerDMARC uw domeinen kan beschermen tegen ransomware en andere e-mailgebaseerde bedreigingen.

Veelgestelde vragen (FAQ's)

Hoe Locky-ransomware decoderen?

De meeste Locky-varianten maken gebruik van onkraakbare RSA-2048-versleuteling waarvoor geen openbare decoderingstoepassingen beschikbaar zijn. De enige betrouwbare herstelmethode is het terugzetten van schone, offline back-ups.

Hoe verspreidt Locky ransomware zich op een apparaat?

Locky verspreidt zich wanneer gebruikers kwaadaardige e-mailbijlagen openen en macro's inschakelen, waardoor het uitvoerbare bestand van de ransomware wordt gedownload dat bestanden op lokale schijven en toegankelijke netwerkshares versleutelt.

Hoe kan ik ransomware-aanvallen herkennen en voorkomen?

Wees voorzichtig met e-mails met onverwachte bijlagen, zoals verrassingsfacturen of betalingsverzoeken, en schakel nooit macro's in voor documenten die u niet verwachtte. Controleer altijd of de afzender echt is en gebruik versleutelde e-mail wanneer dat mogelijk is.

• Over
• Laatste berichten

Ayan Bhuiya

Shift Lead, Infrastructuur- en e-mailbeveiligingsdeskundige bij PowerDMARC

Ayan Bhuiya heeft meer dan 13 jaar ervaring in cyberbeveiliging en is gespecialiseerd in infrastructuur, bedrijfscontinuïteit, risicomanagement en e-mailbeveiliging. Momenteel is hij Shift Lead bij PowerDMARC. Hij heeft een Postgraduate Diploma in Netwerken en Beveiliging en heeft een bewezen staat van dienst in het leiden van strategische beveiligingsinitiatieven om bedreigingen te beperken en de veerkracht van het bedrijf te garanderen.

Laatste berichten van Ayan Bhuiya (Bekijk alle berichten)

• 6 manieren waarop een datalek de beveiliging van uw bedrijf in gevaar kan brengen - 1 april 2026
• NIS2-richtlijn: wat het is, vereisten, deadlines en hoe u hieraan kunt voldoen - 26 maart 2026
• Essential Eight vs SMB 1001: een volledige vergelijking voor moderne Australische cyberbeveiliging - 12 februari 2026