Endnu en version af den berygtede Locky er blevet frigivet. Det er mest sandsynligt en opdateret variant af .aesir filtypen den Locky, svarer til, hvad Cerber ransomware, den anden store aktør på dette segment gør, kommer op med flere varianter i korte tidsrammer. Denne variant af locky bruger en Js fil for infektion, men det behøver ikke sin egen kommando-servere og er i stedet automatiseret, forskere mener. For at forstå, hvordan man fjerner denne virus og lære alternative metoder til at forsøge at gendanne dine filer uden at skulle betale løsesummen, vi råde dig til at læse denne artikel grundigt.
Hvad Er Locky Ransomware Do?
Når det inficerer, den Locky virus bruger en anden filtype til at kryptere filer, end det er tidligere varianter – .zzzzz. I modsætning til de varianter, der bruger navnet på nordiske guder, denne Locky anvender 1 brev gentaget fem gange om en forlængelse, som er atypisk. Ikke kun dette, men e-mails, har arkiver, opkaldt ordre _{navn på offer}.zip udnyttes til at inficere brugere med ondsindede .js (JavaScript) filer i dem. Download-placeringer af disse filer er en af de mange distribution websteder bruges af Locky.
Efter denne skadelig fil åbnes af brugeren, den ransomware får helt ned til erhvervslivet. Det skaber en kopi af løsesum notat brug med navnet _1-INSTRUCTION.html. Den løsesum notat fil er også ændret som en baggrund på computerens offer, ligne det følgende:
”!!! VIGTIG INFORMATION !!!
Alle dine filer er krypteret med RSA-2048 og AES-128 kryptering.
Mere information om RSA og AES kan findes her:
https://en.wikipedia.org/wiki/RSA_(kryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Dekryptering af dine filer er kun muligt med den private nøgle og dekryptere program, Alt som er på vores hemmelige server.
For at modtage din private nøgle følge et af linkene:
1. [redacted] 2. [redacted] Hvis alt dette adresser er ikke tilgængelige, følge disse trin:
1. Download og installer Tor Browser: https://www.torproject.org/download/download-easy.html
2. Efter en vellykket installation, køre browseren og vente på initialisering.
3. Skriv i adresselinjen: [redacted] 4. Følg vejledningen på webstedet.
!!! Din personlige identifikation id: [redacted] !!!”
Den INSTRUCTION.html fil har også en lignende løsesum besked:
Begge steder har til formål at føre offeret, hvis filerne er krypteret med Locky s .zzzzz variant til den traditionelle for denne familie af malware Locky Decryptor webside.
Hvad er Locky s Kryptering og hvorfor jeg kan ikke åbne My Files?
Virussen er en af de stærkeste, når det kommer til kryptering af brugerens filer. Faktisk, det er forprogrammeret til at kryptere en bred vifte af filtypenavne, mere end 400:
→ .001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7fra, .7zip, .BUE, .CSV, .DOC, .DOT, .MYD, .SOLGT, .NEF, .PAQ, .PPT, .RTF, .sqlite3, .SQLITEDB, .XLS, .aac, .AB-4, .accdb, .accde, .accdr, .accdt, .men, .acr, .handling, .aDB, .ADP, .annoncer, .aes, .agdl, .til, .AIFF, .tilhører, .al, .AOI, .APJ, .apk, .ARW, .ASC, .ASF, .person, .asp, .aspx, .aktiv, .ASX, .avi, .aWG, .tilbage, .backup, .backupdb, .bag, .bank, .flagermus, .bay, .BdB, .BGT, .Bik, .beholder, .PKP, .blanding, .bmp, .BPW, .brd, .BSA, .CDF, .cdr, .CDR3'en, .CDR4, .cdr5, .CDR6, .CDRW, .cdx, .CE1, .CE2, .himlen, .cfg, .CGM, .lomme, .klasse, .CLS, .cmd, .CMT, .config, .kontakt, .cpi, .cpp, .CR2, .craw, .crt, .CRW, .cs, .CSH, .CSL, .csr, .css, .csv, .d3dbsp, .Dacian, .den, .hvilken, .db, .DB3, .db_journal, .dbf, .dbx, .DC2, .dch, .DCR, .DCS, .ddd, .dock, .NRW, .dDS, .den, .af, .design, .DGC, .DIF, .dip, .dette, .djv, .DjVu, .DNG, .doc, .docb, .docm, .docx, .punktum, .dotm, .dotx, .DRF, .DRW, .dtd, .dwg, .DXB, .dxf, .DXG, .edb, .eml, .eps, .erbsql, .ejendom, .EXF, .fdb, .FfD, .fff, .fh, .FHD, .fla, .flac, .FLF, .flv, .flvv, .smede, .FPX, .frm, .FXG, .gif, .gpg, .grå, .grå, .grupper, .spil, .gz, .hbk, .hdd, .HPP, .html, .HWP, .iBank, .IBD, .FLR, .IDX, .iif, .IIQ, .incpas, .indd, .iWi, .krukke, .java, .JNT, .JPE, .jpeg, .jpg, .js, .KC2, .kdbx, .KDC, .nøgle, .kpdx, .historie, .laccdb, .lægge, .lay6, .lbf, .LDF, .lit, .litemod, .litesql, .log, .LTX, .tage, .m2ts, .m3u, .m4a, .M4P, .m4u, .M4V, .mapimail, .max, .MBX, .md, .CIS, .MDC, .MDF, .MEF, .MFW, .mid, .mkv, .MLB, .MML, .MMV, .mny, .MoneyWell, .MOS, .mov, .mp3, .mp4, .mpeg, .mpg, .MRW, .MS11, .msg, .verden, .n64, .ND, .NDD, .ndf, .skib, .NK2, .intet p, .NRW, .NS2, .ns3, .NS4, .NSD, .NSF, .NSG, .NSH, .nvram, .NWB, .NX2, .NXL, .nyf, .OAB, .obj, .spec, .Episode, .ODF, .svar, .ODM, .Svar, .ODS, .ODT, .ogg, .olie, .onetoc2, .orf, .ost, .OTG, .oth, .OTP, .oTS, .der, .p12, .p7b, .p7c, .hjælpe, .sider, .ikke, .klappe, .pcd, .pct, .FBF, .PDD, .pdf, .PEF, .PEM, .pfx, .php, .snabel, .pl, .plc, .plus_muhd, .png, .gryde, .POTM, .potx, .ppam, .pps, .PPSM, .ppsx, .ppt, .PPTM, .PPTX, .PRF, .ps, .psafe3, .PSD, .pspimage, .pst, .PTX, .PWM, .py, .Qba, .QBB, .QBM, .Qbr, .QBW, .qbx, .qby, .qcow, .qcow2, .er, .R3D, .raf, .rar, .rotte, .rå, .rb, .RDB, .RE4, .rm, .rtf, .RVT, .RW2, .RWL, .RWZ, .s3db, .sikker, .sas7bdat, .sav, .Gemme, .sige, .sch, .sd0, .sda, .SDF, .sh, .sldm, .sldx, .SLK, .sql, .SQLite, .sqlite3, .sqlitedb, .SR2, .SRF, .srt, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .STC, .std, .STI, .stm, .STW, .STX, .svg, .sWF, .SXC, .SXD, .sxg, .hun, .SXM, .sxw, .tager, .tar.bz2, .Tbk, .tex, .tga, .tgz, .THM, .TIF, .tiff, .pcs, .txt, .generelt, .uot, .UPK, .vb, .VBox, .vbs, .VDI, .vhd, .vhdx, .VMDK, .vmsd, .VMX, .vmxf, .Vob, .WAB, .tot, .pung, .wav, .WB2, .WK1, .wks, .wma, .wmv, .WPD, .WPS, .x11, .x3f, .film, .XLA, .xlam, .XLC, .XLK, .XLM, .XLR, .xls, .xlsb, .xlsm, .XLSX, .XLT, .xltm, .xltx, .xlw, .xml, .ycbcra, .YUV, .zip
Filer, der er krypteret vil have filtypen med den repeaded ”z” brev og bliver ikke længere oplukkelig. Krypteringen menes der skal anvendes til disse filer er AES-128 i kombination med en cipher der er RSA-2048 og danner en unik dekrypteringsnøgle for hver infektion.
Når dette er gjort, Locky ransomware kan slette sikkerhedskopier og andre filer historie ved hjælp af vssadmin kommando.
Hvordan klarede jeg mig inficeret med Locky .zzzzz?
Alt, det kræver at blive smittet med Locky ransomware s .zzzzz variant er at åbne en phishing e-mail, der foregiver at være et legitimt. Her er et eksempel på en infektion, opdaget tidligere:
→ "Kære kunde,
Hilsen fra Amazon.com
Vi skriver for at fortælle dig, at følgende punkt er blevet sendt ved hjælp af Royal Mail.
For mere information om levering skøn og eventuelle åbne ordrer, besøg: {web link}
Din bestilling {Ordrenummer}”
De e-mails har en ondsindet arkiv (.zip-fil) som er opkaldt "BESTILLE-{Nummer}.zip}”. Hvis brugeren er uerfaren nok til at hente og åbne den skadelige Js fil i arkivet, som kan foregive at være enten en Microsoft Office eller et Adobe-dokument, de straks bliver indsprøjtet med et JavaScript-protokol, der forårsager infektionen med Locky.
Sådan fjerner Locky Ransomware og gendannelse krypterede filer
For fuldt ud at slette virussen vi råde dig til at bruge en avanceret anti-malware program, hvis du mangler erfaring i malware fjernelse. Det vil professionelt slette alle objekter, der er forbundet med Locky på computeren på en hurtig måde.
At forsøge at gendanne dine filer du har flere alternative metoder liggende, før du:
- Data Recovery Software.
- Shadow Backups Gendan (hvis intakt)
- Netværk Sniffer.
- Prøv tredjeparts decryptors efter sikkerhedskopiering af krypterede filer. (ikke prøve dem på de originale kopier af de krypterede filer, kun på andre kopier)
Disse metoder kan ikke være 100% effektive, men de kan være effektive nok til at genskabe i det mindste nogle af dine filer.