Wat is Lucky-ransomware?
Lucky is een type ransomware dat door onze onderzoekers werd ontdekt tijdens een routine-inspectie van nieuwe inzendingen op de VirusTotal-website. Het behoort tot de familie van de Phobos-ransomware.
Table of Contents
Versleuteling en losgeldnota's
Lucky ransomware versleutelt bestanden op de machine van het slachtoffer en wijzigt hun bestandsnamen. De originele titels worden toegevoegd met een unieke ID, het e-mailadres van de cybercriminelen en de extensie ".Lucky". Een bestand met de naam "1.jpg" zou bijvoorbeeld verschijnen als "1.jpg.id[9ECFA84E-3451].[ dopingen@rambler.ru ].Lucky".
Nadat het coderingsproces is voltooid, maakt Lucky losgeldnota's in de vorm van een pop-upvenster ("info.hta") en een tekstbestand ("info.txt").
Risico's en gevolgen van het betalen van het losgeld
De losgeldbrief in het tekstbestand informeert het slachtoffer eenvoudigweg dat hun bestanden zijn versleuteld en instrueert hen om contact op te nemen met de aanvallers. De notitie in het pop-upvenster geeft meer details over de infectie, waarin staat dat het slachtoffer losgeld moet betalen in Bitcoin-cryptocurrency om hun gegevens te decoderen. De aanvallers laten het slachtoffer het decoderingsproces testen door maximaal vijf gecodeerde bestanden te verzenden.
Het betalen van het losgeld garandeert echter niet dat de decoderingssleutels of software zullen worden geleverd. In feite ontvangen veel slachtoffers die het losgeld betalen niet de beloofde decoderingstools. Het wordt sterk afgeraden om het losgeld te betalen, omdat het illegale activiteiten ondersteunt en er geen garantie is op gegevensherstel.
Lucky Ransomware voorkomen en verwijderen
Om te voorkomen dat de Lucky-ransomware nog meer bestanden versleutelt, is het cruciaal om het uit het besturingssysteem te verwijderen. Het verwijderen van de ransomware zal de gecompromitteerde bestanden echter niet herstellen. De enige oplossing is om de bestanden te herstellen vanaf een back-up, als die beschikbaar is. Het opslaan van back-ups op meerdere afzonderlijke locaties, zoals externe servers en niet-aangesloten opslagapparaten, wordt ten zeerste aanbevolen voor de veiligheid van gegevens.
Naast de Lucky-ransomware bestaan er nog vele andere programma's van het ransomware-type. Enkele voorbeelden zijn Rajah, Snea575 (Chaos), Waqq en Gaqq. Hoewel deze programma's op dezelfde manier werken, verschillen ze in de cryptografische algoritmen die ze gebruiken en de hoogte van het gevraagde losgeld.
Ransomware, waaronder Lucky, wordt voornamelijk verspreid via phishing- en social engineering-technieken. Schadelijke programma's zijn vaak vermomd als of gebundeld met gewone software of media.
Besmettelijke bestanden kunnen de vorm hebben van archieven (ZIP, RAR), uitvoerbare bestanden (.exe, .run), documenten (Microsoft Office, Microsoft OneNote), JavaScript en meer.
