Locky Ransomware: Chroń się przed zagrożeniami związanymi z pocztą elektroniczną

Ransomware Locky pojawiło się w 2016 roku i szybko stało się poważnym zagrożeniem. Szyfrowało pliki na komputerze ofiary, a następnie żądało zapłaty w bitcoinach za ich odblokowanie. Mimo że Locky ma już prawie dziesięć lat, nadal ważne jest, aby zrozumieć, jak działa. Warianty tego oprogramowania nadal istnieją, stare infekcje mogą pozostawać w systemach, a wprowadzone przez nie sztuczki phishingowe są nadal wykorzystywane przez współczesne grupy ransomware.

To, co sprawia, że Locky jest szczególnie niebezpieczny, to jego powiązania z grupą cyberprzestępczą stojącą za trojanem bankowym Dridex (znaną również jako Evil Corp lub TA505) oraz jego masowa dystrybucja za pośrednictwem botnetu Necurs. W szczytowym momencie ransomware Locky zainfekowało tysiące organizacji na całym świecie, powodując poważne straty danych i zakłócenia w funkcjonowaniu szpitali, banków i małych przedsiębiorstw.

Mimo że obecnie sytuacja w zakresie bezpieczeństwa poczty elektronicznej uległa zmianie, taktyki stosowane przez Locky'ego, w tym fałszywe adresy nadawców, złośliwe załączniki i socjotechnika, pozostają podstawą ataków ransomware. Silne kontrola bezpieczeństwa poczty elektronicznej i protokoły uwierzytelniania są niezbędną pierwszą linią obrony przed tymi zagrożeniami.

Czym jest ransomware Locky?

Locky ransomware to odmiana oprogramowania ransomware, które szyfruje pliki w zainfekowanych systemach, uniemożliwiając dostęp do nich do momentu zapłacenia okupu. W przeciwieństwie do złośliwego oprogramowania kradnącego dane, Locky skupia się wyłącznie na szyfrowaniu plików, wykorzystując silne algorytmy kryptograficzne do blokowania dokumentów, obrazów, baz danych i kopii zapasowych.

Po zakończeniu szyfrowania Locky żąda zapłaty w bitcoinach, zazwyczaj w wysokości od 0,5 do 1 BTC, i udostępnia portal płatniczy oparty na sieci Tor, gdzie ofiary mogą rzekomo kupić klucze deszyfrujące. Jednak zapłacenie okupu nie daje żadnej gwarancji odzyskania plików, a eksperci ds. bezpieczeństwa jednogłośnie odradzają takie postępowanie.

Organizacje opieki zdrowotnej były jednym z głównych celów Locky'ego, a szpitale, gabinety lekarskie i systemy opieki zdrowotnej doświadczyły poważnych zakłóceń. Do znanych przypadków należy Hollywood Presbyterian Medical Center, które zapłaciło 17 000 dolarów w bitcoinach po infekcji Locky w lutym 2016 roku. Oprogramowanie ransomware nie rozróżnia wielkości organizacji, ponieważ małe firmy z ograniczonymi zasobami cyberbezpieczeństwa okazały się tak samo podatne na ataki jak większe przedsiębiorstwa.

Locky wykorzystuje kilka zaawansowanych technik unikania wykrycia, w tym zaciemnione ładunki JavaScript, dynamiczne adresy serwerów dowodzenia i kontroli oraz szybkie wydawanie nowych wariantów, aby ominąć wykrywanie oparte na sygnaturach. Dzięki tym metodom pozostawał skuteczny nawet po aktualizacji zabezpieczeń przez dostawców oprogramowania antywirusowego.

Ważne warianty

Locky szybko rozwinął się w wiele wariantów, z których każdy został stworzony w celu uniknięcia wykrycia i dotarcia do większej liczby ofiar. Wersje te można rozpoznać głównie po rozszerzeniach plików, które pozostawiają:

• .locky – Oryginalna wersja wprowadzona na rynek w lutym 2016 r.
• .zepto – Wydany w czerwcu 2016 r. z ulepszonymi funkcjami antyanalizy.
• .odin – wersja z października 2016 r. wykorzystująca szyfrowanie RSA i AES
• .thor – listopad 2016 r. z ulepszonym zaciemnieniem
• .osiris – grudzień 2016 r. z aktualizacją infrastruktury C2
• .aesir – Wersja z początku 2017 r. z szybszymi procedurami szyfrowania
• .lukitus – wariant resurgence z 2017 r. rozprzestrzeniający się za pośrednictwem fałszywych faktur

Każdy wariant wprowadzał subtelne zmiany, aby uniknąć wykrycia przez programy antywirusowe oparte na sygnaturach, zachowując jednocześnie podstawowe mechanizmy infekcji i szyfrowania. Szybki cykl wydawania nowych wersji (czasami co tydzień) utrudniał producentom oprogramowania zabezpieczającego nadążanie za nowymi próbkami.

Jak działa oprogramowanie ransomware Locky

Zrozumienie cyklu życia infekcji Locky pomaga organizacjom budować skuteczne zabezpieczenia na każdym etapie łańcucha ataku.

1. Dostawa

Locky pojawia się w wyniku masowych kampanii złośliwego spamu, które mają wyglądać jak legalna korespondencja biznesowa. Te e-maile udają faktury, powiadomienia o płatnościach, potwierdzenia dostawy lub potwierdzenia zamówień od znanych marek.

Załączniki zazwyczaj zawierają dokumenty Word (.doc, .docm), arkusze kalkulacyjne Excel (.xls, .xlsm) lub archiwa ZIP zawierające pliki JavaScript (.js) lub Visual Basic Script (.vbs). Botnet Necurs rozesłał miliony takich wiadomości e-mail w szczytowym momencie działalności Locky'ego, a badacze bezpieczeństwa zaobserwowali kampanie obejmujące setki milionów wiadomości, które przeciążały systemy filtrów antyspamowych .

Atakujący wykorzystali spoofing wiadomości e-mail, aby sfałszować adres nadawcy, sprawiając, że wiadomości wyglądały, jakby pochodziły od zaufanych kontaktów. Bez odpowiednich protokołów uwierzytelniania wiadomości e-mail, takich jak SPF, DKIM i DMARC, odbiorcy nie mieli niezawodnego sposobu weryfikacji autentyczności wiadomości.

2. Włączanie makr

Kiedy ofiary otwierają złośliwy plik, widzą nieczytelny tekst i komunikat z informacją, że „Włącz makra, aby wyświetlić zawartość” lub „Włącz edycję, aby wyświetlić dokument”.

Ta sztuczka socjotechniczna wykorzystuje zaufanie użytkowników i ich chęć obejrzenia informacji, które wydają się być ważnymi informacjami biznesowymi. Microsoft Office domyślnie wyłącza makra ze względów bezpieczeństwa, ale operatorzy Locky stworzyli przekonujące przynęty, aby nakłonić użytkowników do ręcznego ich włączenia.

W momencie włączenia makr, osadzone skrypty uruchamiają się w tle (często w ciągu milisekund), zanim użytkownicy zdają sobie sprawę, że coś jest nie tak.

3. Pobieranie złośliwego oprogramowania

Gdy makra są włączone, skrypt łączy się z serwerem dowodzenia i kontroli (C2) i pobiera prawdziwe oprogramowanie ransomware Locky. Ta dwuetapowa metoda pomaga atakującym uniknąć wykrycia, ponieważ załącznik do wiadomości e-mail zawiera tylko niewielki program pobierający, a nie pełną wersję oprogramowania ransomware.

Adresy serwerów C2 często się zmieniają, czasami nawet co godzinę, co utrudnia narzędziom zabezpieczającym ich blokowanie. Twórcy Locky wykorzystali algorytmy generowania domen (DGA) do stworzenia setek potencjalnych domen C2, dzięki czemu nawet jeśli niektóre z nich zostały zablokowane, inne pozostały dostępne.

4. Szyfrowanie

Po pobraniu Locky natychmiast rozpoczyna szyfrowanie plików przy użyciu kombinacji algorytmów RSA-2048 (do szyfrowania klucza) i AES-128 (do szyfrowania plików). Takie hybrydowe podejście gwarantuje, że pliki nie mogą zostać odszyfrowane bez prywatnego klucza atakującego.

Locky atakuje różne typy plików, w tym dokumenty (.doc, .pdf, .txt), obrazy (.jpg, .png), bazy danych (.sql, .mdb), kod źródłowy (.php, .java) i kopie zapasowe (.bak). Szyfruje nie tylko dyski lokalne, ale także zmapowane udziały sieciowe i podłączone zewnętrzne urządzenia pamięci masowej.

Po zaszyfrowaniu pliki są przemianowywane przy użyciu unikalnych identyfikatorów i rozszerzeń specyficznych dla danego wariantu. Na przykład document.docx może stać się A4B2C8D1-E5F6-7890-1234-56789ABCDEF0.locky, co uniemożliwia identyfikację oryginalnych nazw plików bez klucza deszyfrującego.

5. Żądanie okupu

Po zakończeniu szyfrowania Locky dostarcza żądanie okupu w wielu lokalizacjach: jako pliki tekstowe o nazwie _Locky_recover_instructions.txt w każdym zainfekowanym folderze oraz jako tapeta pulpitu. Notatka zawiera instrukcje dotyczące dostępu do portalu płatniczego opartego na sieci Tor, gdzie ofiary mogą rzekomo zakupić klucze deszyfrujące.

Strona płatności zazwyczaj wyświetla odliczanie, często 72 godziny, i ostrzega, że cena wzrośnie lub pliki mogą zostać utracone, jeśli ofiara będzie czekać zbyt długo. Tworzy to fałszywe poczucie pilności i skłania ludzi do zapłacenia, zanim zwrócą się o pomoc do ekspertów ds. bezpieczeństwa.

Jak zapobiegać atakom ransomware Locky

Zapobieganie jest jedyną niezawodną metodą obrony przed Locky. Większość wariantów nie ma publicznych deszyfratorów, co oznacza, że zaszyfrowane pliki są trwale utracone bez kopii zapasowych lub zapłacenia okupu.

Wczesne wykrycie wirusa Locky jest trudne, ponieważ nowsze wersje działają szybko i ukrywają swój kod, aby uniknąć wykrycia przez tradycyjne narzędzia. Dlatego zapobieganie jest znacznie ważniejsze niż próba wykrycia wirusa po jego uruchomieniu.

Oto podstawowe środki zapobiegawcze:

• Wdrażaj protokoły uwierzytelniania poczty elektronicznej: Wdrożenie protokołów SPF, DKIM i DMARC w celu blokowania fałszywych wiadomości spamowych, zanim dotrą one do skrzynek odbiorczych. PowerDMARC zapewnia automatyczną konfigurację, czytelne raporty i alerty o zagrożeniach w czasie rzeczywistym, dzięki czemu uwierzytelnianie jest dostępne dla organizacji każdej wielkości.
• Włącz zaawansowane filtrowanie spamu: Korzystaj z bezpiecznych bram pocztowych z funkcją sandboxingu załączników, przepisywania linków i analizy behawioralnej, aby wychwycić złośliwe wiadomości e-mail, które omijają kontrole uwierzytelniające.
• Wyłącz makra domyślnie: Skonfiguruj pakiet Microsoft Office tak, aby wyłączał makra w plikach pochodzących z Internetu i wymagał podpisów cyfrowych dla zaufanych makr.
• Regularnie instaluj poprawki: Aktualizuj systemy operacyjne, aplikacje i oprogramowanie zabezpieczające, aby wyeliminować znane luki w zabezpieczeniach.
• Przeszkol pracowników w zakresie świadomości phishingu: Organizuj regularne szkolenia z zakresu bezpieczeństwa, aby pracownicy nauczyli się rozpoznawać podejrzane wiadomości e-mail, unikać nieoczekiwanych załączników i nigdy nie włączać makr w dokumentach, których nie oczekiwali.
• Zachowaj kopie zapasowe offline: Regularnie twórz kopie zapasowe ważnych danych w trybie offline, stosując zasadę 3-2-1 (trzy kopie, dwa rodzaje nośników, jedna kopia poza siedzibą firmy).
• Wdrożenie ochrony punktów końcowych: Korzystaj z renomowanych rozwiązań antywirusowych z analizą behawioralną, wykrywaniem ransomware i funkcjami automatycznego usuwania zagrożeń.

Locky jest zasadniczo wektorem ataku przenoszonym za pośrednictwem poczty elektronicznej. Organizacje, które wdrażają silne uwierzytelnianie poczty elektronicznej za pomocą narzędzi takich jak PowerDMARC DMARC Checker, SPF Record Checkeri DKIM Checker mogą zweryfikować swoją konfigurację uwierzytelniania i znacznie ograniczyć narażenie na fałszywe kampanie spamowe.

Jak usunąć Locky, jeśli już doszło do infekcji

Jeśli podejrzewasz infekcję wirusem Locky, natychmiastowe podjęcie działań może zapobiec dalszym szkodom i powstrzymać rozprzestrzenianie się wirusa na inne urządzenia. Postępuj zgodnie z poniższymi instrukcjami:

1. Natychmiast odizoluj zainfekowany system:odłącz go od sieci (odłącz kabel Ethernet i wyłącz Wi-Fi), aby uniemożliwić Locky dostęp do współdzielonych dysków lub rozprzestrzenianie się na inne urządzenia.
2. Odłącz zewnętrzną pamięć masową: Odłącz wszystkie pamięci USB, zewnętrzne dyski twarde i zmapowane udziały sieciowe, aby chronić dane kopii zapasowej przed szyfrowaniem.
3. Użyj czystego urządzenia do narzędzi odzyskiwania:pobierz renomowane oprogramowanie antywirusowe (Malwarebytes, Kaspersky Rescue Disk lub podobne) z niezainfekowanego komputera i przenieś je za pomocą czystego dysku USB.
4. Uruchom komputer w trybie awaryjnym:Uruchom ponownie zainfekowany system w trybie awaryjnym z obsługą sieci, aby zapobiec ładowaniu się programu Locky podczas uruchamiania.
5. Przeprowadź pełne skanowanie systemu:wykonaj kompleksowe skanowanie antywirusowe w celu wykrycia i usunięcia plików wykonywalnych, procesów i wpisów rejestru programu Locky.
6. Nie płacisz okupu:Płacenie okupu finansuje działalność przestępczą i nie daje żadnej gwarancji odzyskania plików. Wiele ofiar, które zapłaciły, nigdy nie otrzymało działających kluczy deszyfrujących.

Ważne wyjaśnienie: Usunięcie Locky zatrzymuje dalsze szyfrowanie i zapobiega rozprzestrzenianiu się na inne systemy, ale nie nie odszyfrowuje już zaszyfrowanych plików. Odzyskanie plików wymaga albo bezpiecznych kopii zapasowych, albo prywatnego klucza deszyfrującego atakującego (który rzadko jest dostarczany nawet po dokonaniu płatności).

Jak przywrócić systemy po ataku Locky

Przywrócenie systemu po ataku Locky zależy wyłącznie od posiadania bezpiecznych, zweryfikowanych kopii zapasowych. Większość wariantów Locky wykorzystuje niełamalne szyfrowanie, w którym to przypadku bez kopii zapasowych zaszyfrowane pliki są trwale utracone.

Organizacje powinny stosować ustrukturyzowany proces odzyskiwania danych, aby odzyskać dane po ataku ransomware:

1. Sprawdź integralność kopii zapasowej: Przed przywróceniem danych upewnij się, że kopie zapasowe są kompletne, nieuszkodzone i wolne od oprogramowania ransomware (najpierw przetestuj przywracanie danych na odizolowanym systemie).
2. Przywracanie z kopii zapasowych offline: Użyj najnowszej czystej kopii zapasowej wykonanej przed wystąpieniem infekcji. Najpierw zajmij się danymi i systemami o znaczeniu krytycznym.
3. Odtwórz zainfekowane komputery: W przypadku silnie zainfekowanych systemów całkowita reinstalacja systemu operacyjnego może być bezpieczniejsza niż próba oczyszczenia istniejących instalacji.
4. Zresetuj wszystkie dane uwierzytelniające: Zmień hasła dla wszystkich kont użytkowników, kont usług i poświadczeń administracyjnych. Sprawdź, czy nie doszło do nieautoryzowanych prób dostępu lub czy nie ma oznak przemieszczania się w sieci.
5. Wdrożenie ulepszonych zasad bezpieczeństwa: Przed ponownym uruchomieniem systemów należy wzmocnić zabezpieczenia, aby zapobiec ponownemu zainfekowaniu. Obejmuje to uwierzytelnianie poczty elektronicznej, ochronę punktów końcowych i segmentację sieci.
6. Sprawdź zabezpieczenia poczty elektronicznej: Przejrzyj i popraw mechanizmy kontroli uwierzytelniania poczty elektronicznej. Upewnij się, że protokoły SPF, DKIM i DMARC są prawidłowo skonfigurowane, aby zapobiec ponownemu dotarciu do użytkowników fałszywych wiadomości spamowych.

W przypadku zdecydowanej większości wariantów wirusa Locky nie są dostępne żadne publiczne narzędzia deszyfrujące. Badacze zajmujący się bezpieczeństwem czasami udostępniają bezpłatne narzędzia deszyfrujące dla starszych odmian oprogramowania ransomware, ale szyfrowanie stosowane przez wirusa Locky pozostaje niełamalne w przypadku większości wariantów. Jedynymi niezawodnymi metodami ochrony są strategie zapobiegania i tworzenia kopii zapasowych.

Plan działania Locky'ego na rzecz lepszego bezpieczeństwa

Ransomware Locky nadal stanowi ważny przykład pozwalający zrozumieć, jak ewoluowało oprogramowanie ransomware i dlaczego wielowarstwowe zabezpieczenia są tak istotne. Od 2017 r. nie odnotowano już dużych epidemii Locky, ale taktyki, które wprowadziło, takie jak masowa dystrybucja złośliwego spamu, socjotechnika za pomocą dokumentów z włączonymi makrami oraz agresywne szyfrowanie plików, nadal mają wpływ na współczesne rodziny oprogramowania ransomware.

Najważniejsza lekcja płynąca z przypadku Locky jest jasna: najskuteczniejszą formą ochrony jest zapobieganie poprzez solidne zabezpieczenia poczty elektronicznej w połączeniu z czujnością użytkowników. Organizacje nie mogą polegać na wykrywaniu oprogramowania ransomware po infekcji, ponieważ w tym momencie krytyczne pliki mogą być już zaszyfrowane.

Dzisiejsze narzędzia bezpieczeństwa znacznie lepiej radzą sobie z powstrzymywaniem ataków przeprowadzanych za pośrednictwem poczty elektronicznej. Prawidłowo skonfigurowane protokoły DMARC, SPF i DKIM mogą blokować fałszywe wiadomości e-mail wykorzystywane do rozprzestrzeniania oprogramowania ransomware, takiego jak Locky. Inteligencja zagrożeń oparta na sztucznej inteligencji, wykrywanie oparte na zachowaniu oraz silna ochrona punktów końcowych zapewniają dodatkowe warstwy zabezpieczeń.

PowerDMARC pomaga organizacjom budować tę kluczową pierwszą linię obrony dzięki automatycznej implementacji DMARC, alertom o zagrożeniach w czasie rzeczywistym oraz wsparciu ekspertów. Nasza platforma sprawia, że uwierzytelnianie wiadomości e-mail jest dostępne dla firm każdej wielkości, chroniąc je przed spoofingiem, phishingiemi oprogramowaniem ransomware, zanim zagrożenia dotrą do skrzynek odbiorczych użytkowników.

Zarezerwuj prezentację DMARC , aby przekonać się, w jaki sposób PowerDMARC może chronić Twoje domeny przed oprogramowaniem ransomware i innymi zagrożeniami związanymi z pocztą elektroniczną.

Często zadawane pytania (FAQ)

Jak odszyfrować oprogramowanie ransomware Locky?

Większość wariantów Locky wykorzystuje niełamalne szyfrowanie RSA-2048, dla którego nie są dostępne publiczne deszyfratory. Jedyną niezawodną metodą odzyskania danych jest przywrócenie ich z czystych kopii zapasowych offline.

W jaki sposób ransomware Locky rozprzestrzenia się na urządzeniu?

Locky rozprzestrzenia się, gdy użytkownicy otwierają złośliwe załączniki wiadomości e-mail i włączają makra, co powoduje pobranie pliku wykonywalnego oprogramowania ransomware, które szyfruje pliki na dyskach lokalnych i dostępnych udziałach sieciowych.

Jak rozpoznać i uniknąć ataków ransomware?

Zachowaj ostrożność w przypadku wiadomości e-mail zawierających nieoczekiwane załączniki, takie jak niespodziewane faktury lub prośby o płatność, i nigdy nie włączaj makr w dokumentach, których nie oczekiwałeś. Zawsze sprawdzaj, czy nadawca jest prawdziwy, i korzystaj z szyfrowych wiadomości e-mail , kiedy tylko jest to możliwe.

• O
• Latest Posts

Ayan Bhuiya

Kierownik zmiany, ekspert ds. infrastruktury i bezpieczeństwa poczty elektronicznej w PowerDMARC

Z ponad 13-letnim doświadczeniem w cyberbezpieczeństwie, Ayan Bhuiya specjalizuje się w infrastrukturze, ciągłości działania, zarządzaniu ryzykiem i bezpieczeństwie poczty elektronicznej. Obecnie pełni funkcję Shift Lead w PowerDMARC. Posiada dyplom ukończenia studiów podyplomowych w zakresie sieci i bezpieczeństwa oraz udokumentowane doświadczenie w prowadzeniu strategicznych inicjatyw w zakresie bezpieczeństwa w celu łagodzenia zagrożeń i zapewnienia odporności biznesowej.

Najnowsze posty autorstwa Ayan Bhuiya (zobacz wszystkie)

• Wyjaśnienie kodów błędów Microsoft: rodzaje, sposoby naprawy i przewodnik po rozwiązywaniu problemów - 22 kwietnia 2026 r.
• 6 sposobów, w jakie naruszenie bezpieczeństwa danych osobowych może zagrozić bezpieczeństwu Twojej firmy - 1 kwietnia 2026 r.
• Dyrektywa NIS2: Czym jest, wymagania, terminy i jak zapewnić zgodność - 26 marca 2026 r.