"Ricevuta_{Numero unico}.HTA - questo è il primo allegato di posta elettronica rilevati per causare infezioni con il virus noto Locky. Locky ransomware è stato via Meny ransomware varianti utilizzando il .odin, .Zepto e le estensioni dei file .locky, ma l'ultima variante di questo virus utilizza l'estensione del file .shit unico. La parte peggiore di questo è che il virus è così volgare come suggerisce di estensione del file. Chiunque sia stato infettato con il file .shit variante di virus estensione del Locky, non dovrebbe pagare la tassa di riscatto e leggere le informazioni in questo articolo.
Scarica Malware Removal Tool, Per verificare se il sistema è stato interessato da Locky ransomware virus e la scansione del sistema per i file virus .SHIT
Locky ransomware - Ulteriori dettagli
I server di comando e controllo maligni di questa variante di Locky ransomware sono ritenuti infettare le persone provenienti da diversi paesi,come:
- Arabia Saudita
- Francia
- Polonia
- Regno Unito
- Germania
- Serbia
Qui è la lista con alcuni dei siti di download di payload .estensione del file merda
Non solo questo, ma anche il virus ransomware Locky è stata ulteriormente riportato dal ricercatore operaions6 (cinguettio: @ _operations6) per essere associato con i seguenti host server di comando e controllo attraverso un tipo di file sul linuxsucks.php Port80:
- 185.102.136.77
- 91.200.14.124
- 109.234.35.215
- Bwcfinnt.work
Non appena l'ultima iterazione del virus infetta il computer Locky, può cambiare immediatamente la carta da parati per una richiesta di riscatto simile alla richiesta di riscatto originale di Locky nella foto qui sotto:
Dopo questo è stato fatto, il ransomware può eliminare le copie shadow del volume eseguendo il seguente comando:
→vssadmin le ombre di eliminazione / forvolume ={azionamento mirato, di solito C:} /tutto / quiet
La modalità / quiete del virus mira principalmente a rendere eliminare i backup e copie shadow (cronologia dei file) dal computer interessato in un modo molto specifico senza che la vittima se ne accorga.
In aggiunta a quelli, il nuovo virus Locky può aggiungere del Registro di stringhe di valore con la posizione attuale del suo file dannosi nel computer. La posizione attuale dei file può essere:
- %AppData%
- %Locale%
- %Roaming%
- %SystemDrive%
Per crittografare i file, il virus Locky rivolge a una specifica lista pre-programmata di estensioni di file, che è associato con i file spesso utilizzato come video, musica, immagini, Microsoft Office e Adobe reader tipo di file. Le estensioni di tali file possono essere le seguenti:
→.doc, .docm, .ceppo, .pappa, .Informazioni, .gDoc, .aspide, .jsp, .jSON, .xhtml, .testo, .xls, .xlsx, .xml, .docx, .html, .js, .CIS, .odt, .asc, .conf, .msg, .rtf, .CFG, .CNF, .pdf, .php, .ppt, .pptx, .sql
I file che sono stati cifrati dal nuovo ransomware maggio Locky aggiunto è estensione del file .shit distintivo tipico per la sua variante e può apparire come segue:
Locky ransomware .Shit Variant – Come sono arrivato infetti
Il virus si sta diffondendo in primo luogo tramite un file .hta che finge di essere una ricevuta, per esempio:
→ Receipt_2414_241412.hta
Questo file dannoso non ha un'elevata percentuale di individuazione su VirusTotal suggerendo che ha il potenziale di causare enormi danni.
Il file .hta pericoloso può essere diffuso attraverso diversi soggetti di posta elettronica diversi, mentire per gli utenti che hanno acquistato qualcosa da siti web come eBay o Amazon, e questo è il loro ricevimento.
Una volta che il file è stato aperto che infetta il computer infetto e download inosservato il payload maligno del nuovo virus Locky. Per fare questo, può connettersi ai seguenti host remoti segnalati da cui sono stati scaricati infezioni:
→www.rawahyl(.)com / 076wc
Nanrangy(.)net / 076wc
Ledenergythai(.)com / 076wc
Sowkinah(.)com / 076wc
Cynosurejobs(.)net / 076wc
3ainstrument(.)com / 076wc
Grupoecointerpreis(.)com / 076wc
Wamasoftware(.)com / 076wc
Locky .Shit Ransowmare Variant - Conclusione, Rimozione e file del restauro
La linea di fondo è che i creatori di Locky ransomware erano di nuovo dopo un calo significativo di infezioni da questo virus ransomware. Il loro nuovo virus aggiunge un “.shit” estensione del file unico per i file crittografati non più apribile sono. Il virus si crede di utilizzare un algoritmo di crittografia avanzata AES a rimescolare il codice dei file e di avere molte tecniche evasive aggiunto ad esso.
Non solo questo, ma il ransomware Si pensa anche di chiedere un riscatto più alto pagamento, molto probabilmente in criptovaluta come BitCoin dal suo vittime. Nel caso in cui siete stati infettati da questa variante .shit di Locky ransomware, è fortemente consigliabile di rimuovere immediatamente questo virus. Dal momento che la rimozione manuale non può fare il lavoro per voi, a meno che non si dispone di una vasta esperienza in questo virus, si consiglia di eliminare automaticamente utilizzando un avanzato strumento anti-malware che lo farà senza danneggiare ulteriormente i file crittografati.
Purtroppo a volte presenti non v'è alcuna decrittazione che vi aiuterà a, a causa del fatto che il virus è nuovo. Tuttavia, si consiglia di tentare di caricare i file su ID ransomware e aspettare che i ricercatori a venire con un decryptor libera prima o poi. Si potrebbe anche voler provare software di recupero dati, ma NON eliminare i file crittografati o reinstallare Windows perché potrebbe essere necessario li se un decryptor libera viene rilasciato dai ricercatori di malware. Per ulteriori notizie su decryptors controllare Kaspersky e Emsisoft così come Trend Micro.
Scarica Malware Removal Tool, Per verificare se il sistema è stato interessato da Locky ransomware virus e la scansione del sistema per i file virus .SHIT