וריאנט אחר של הווירוס הכופר Locky ההרסנית זוהה על ידי חוקרים זדוניים בחוץ לדרוש הסכום של 3 BTC בתור כופר במחשבים נגועים. הנגיף הנו בעיקר באמצעות הצפנת קבצים של מחשבי הקורבנות שלאחריו עוזבים אותם עם סיומת קובץ .osiris. גרסה זו שונה על ידי רוב Locky כופר וריאנטים בעיקר על ידי תוספות כמה שיטות של הפצה של הנגיף וסיומת הקובץ, באמצעות אל מצרי במקום אלי הנורדים מזדמנים בשימוש בגרסות הקודמות של התוכנה הזדונית.
וירוס קובץ .osiris Locky - איך זה להדביק
יוצרי כופר Locky דבקו בשיטה ידועה של הפצת תוכנות זדוניות, באמצעות קמפיינים זבל לשכפל אותו באמצעות דואר אלקטרוני. הודעות דואר אלקטרוניות המשמשות את יוצרי Locky נחשבות לאיום העיקרי למשתמשים. האימיילים מדווחים להכיל מהסוג הבא של קבצים שגורמים לזיהום:
- .xls קובץ עם שם אקראי כגון _2234_214252_
- .JS ו .wsf (JavaScript)
- .HTA, .html, .htm (להוביל מארחי אינטרנט זדוניים)
- .VBS (ב- Visual Basic Script) שגורם לזיהום ישיר
קבצים אלה בדרך כלל מאוחסנים בארכיון כגון ארכיוני zip או .rar שיש דומים או זהים לשמות הקבצים המצורפים כדי למנוע זיהוי על ידי האבטחה של ספקי דואר אלקטרוני. גרסת Locky האחרונה באמצעות סיומת קובץ .osiris דווחה להשתמש בקובץ, בשם "Osiris.htm" או ".xls" להגיש עם מספרים אקראיים כשם.
ברגע שהמשתמש לוחץ על הקובץ, פעולות לטשטש עלולות מייד להתחבר לאחד אתרי הפצת Locky הרבים:
לאחר שכבר מחובר לאלה webistes, התוכנות הזדוניות עשויות להוריד מטען לטשטש בתיקיות Windows מכריעות, כמו זוהה בעבר על ידי a1.exe Hybrid-ניתוח המכיל Locky, ממוקם ב %% Temp.
עד כה דווח שהיא להיות מוגדרות מראש כדי להצפין סוגי הקבצים זהים הגרסאות הקודמות, כמו .Aesir, .חרא, .zzzzz Locky וריאנטים. זה כולל הצפנת קבצים בפורמטים לרוב נפגשים של:
- תמונות.
- סרטונים.
- כוננים וירטואליים.
- קבצי Database.
- קבצים משויכים Microsoft Word.
- קובצי Microsoft Excel.
- קבצים הקשורים Adobe Reader.
- קבצים שיש משהו משותף עם שחקני כונן הווירטואליים ביותר.
לאחר Locky .osiris מדביק אותם קבצים, הווירוס מתחיל להחליף את הקוד של קבצים אלה עם סימני מנהג השייך אלגוריתם הצפנה חזק מאוד, קרא AES-128. קבצים אלו מכן ליצור מפתח פענוח ייחודי. לאחר המעבר הזה, הווירוס מתקרב שוב באמצעות אלגוריתם ההצפנה גם מאוד מתקדם RSA-2048 במטרה האחת והיחידה של יצירת RSA ציבורי ייחודי ומפתחות פרטיים. הווירוס אז אולי גם להתחבר לשרתי C2 ולשלוח את מפתחות פענוח עליהם או לשמור אותם על המחשב הנגוע למשך Locky Decryptor ספציפי אשר נמכר עבור BTC. קבצים מוצפנים להיראות כמו למשל שהוזכרו להלן:
לאחר הצפנה על ידי וירוס כופר Locky זו השלימה, הווירוס מתחיל מיד להציג “תקרא אותי” .htm קובץ שיש לו את ההוראות הבאות:
“כל הקבצים מוצפנים עם RSA-2048 ו צופן AES-128.
מידע נוסף על RSA ו- AES ניתן למצוא כאן:
{קישורי ויקיפדיה}
הפענוח של הקבצים שלך אפשרי רק באמצעות המפתח הפרטי ולפענח תכנית, אשר על שרתי הסוד שלנו. כדי לקבל את המפתח הפרטי שלך ופעל על אחד הקישורים:
אם כל כתובות זה אינו זמין, בצע את הפעולות הבאות:
1. הורד והתקן דפדפן Tor: https://www.torproject.org/download/download-easy.html
2. לאחר התקנה מוצלחת, להפעיל את הדפדפן ולחכות אתחול.
3. הקלד בשורת הכתובת: {כתובת אתר Locky ייחודי}
4. בצע את ההוראות שבאתר.”
ההוראות באתר הן הוראות Decryptor Locky הסטנדרטיות אשר משמשות את רוב הגירסות של אותו - דף אינטרנט עם הוראות כיצד לקנות Bitcoin ולשלם עבור "Decryptor Locky":
בנוסף לכך הקבצים OSIRIS-{ראנד}.htm ו shtefans1.spe מתווספים גם במחשב הנגוע בין קבצים אחרים.
כיצד להסיר וירוס .osiris Locky ושחזור שלי קבצים
במקרה מתחשק לכם לא לשלם כל כופר כדי-פושעי סייבר שעשוי או עלול לא לקבל את הקבצים שלך בחזרה, אנו ממליצים בחום ראשית להסיר Locky מהמחשב שלאחריו להתמקד מנסה לשחזר את הקבצים שלך באמצעות שיטות חלופיות. למען הסר הבטוחה הטובה ביותר של Locky .osiris מומחים כופר לייעץ בחום להשתמש בכלי נגד תוכנות זדוניות מתקדמות ידאג אוטומטית של כל האובייקטים כופר Locky הפריעה.
אנו ממליצים לך בזהירות ופעל בהתאם לשלבים שהוזכרו להלן על מנת להסיר Locky .osiris כראוי:
שלב 1: הורד והתקן תוכנית נגד תוכנות זדוניות מתקדמות:
שלב 2: אתחול המחשב מצב בטוח ולסרוק אותו עם תוכנית להסרת Locky .osiris איטרציה.
שלב 3: שימוש בכלי שחזור הנתונים. שיטה זו מוצעת על ידי מומחים רבים בתחום. זה יכול לשמש כדי לסרוק סקטורים של הכונן הקשיח ולכן לטרוף את הקבצים המוצפנים מחדש כאילו הם נמחקו. רוב הווירוסים הכופרים בדרך כלל מוחקים קובץ וליצור עותק מוצפן כדי למנוע תוכניות כאלה עבור שחזור הקבצים, אבל לא כולם זה מתוחכם. אז ייתכן שיש לך סיכוי לשחזר חלק מהקבצים שלך עם השיטה הזו. הנה כמה תוכניות לשחזור נתונים אשר אתה יכול לנסות ולשחזר לפחות חלק מהקבצים: