Nog een andere versie van de beruchte Locky is vrijgegeven. Het is zeer waarschijnlijk een bijgewerkte variant van de .aesir bestandsextensie Locky, vergelijkbaar met wat Cerber ransomware, de andere grote speler in dit segment doet, komen met meerdere varianten in binnen kort tijdsbestek. Deze variant van locky maakt gebruik van een .js bestand voor de infectie, maar het hoeft niet over een eigen commando servers en in plaats daarvan wordt geautomatiseerd, onderzoekers geloven. Om te begrijpen hoe dit virus te verwijderen en te leren alternatieve methoden om te proberen en herstellen van uw bestanden zonder dat u het losgeld te betalen, Wij raden u aan om dit artikel aandachtig door te lezen.
Wat doet Locky Ransomware Do?
Wanneer het infecteert, de Locky virus maakt gebruik van een andere extensie om bestanden te versleutelen, dan is het vorige varianten – .zzzzz. In tegenstelling tot die varianten waarin de naam te gebruiken van de Noorse goden, dit Locky gebruikt 1 letter herhaald vijf keer voor een uitbreiding, die atypische. Niet alleen dit, maar e-mails die archieven, genoemde volgorde _{naam van het slachtoffer}.ritssluiting worden gebruikt om gebruikers met kwaadaardige Js infecteren (JavaScript) bestanden in hen. De downloadlocaties van die bestanden zijn een van de vele distributie sites gebruikt door Locky.
Na deze kwaadaardig bestand wordt geopend door de gebruiker, de ransomware krijgt meteen ter zake. Het creëert een kopie van de losgeldnota gebruik in combinatie met de naam _1-INSTRUCTION.html. Het losgeld nota bestand wordt ook veranderd als achtergrond op het slachtoffer computer, uitzien als het volgende:
“!!! BELANGRIJKE GEGEVENS !!!
Al uw bestanden worden versleuteld met RSA-2048 en AES-128 cijfers.
Meer informatie over de RSA en AES kan hier worden gevonden:
https://en.wikipedia.org/wiki/RSA_(cryptosysteem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decoderen van uw bestanden is alleen mogelijk met de persoonlijke sleutel en decoderen programma, Alles wat op ons geheim server.
Voor het ontvangen van uw private key te volgen een van de links:
1. [redacted] 2. [redacted] Als al deze adressen zijn niet beschikbaar, Volg deze stappen:
1. Download en installeer Tor Browser: https://www.torproject.org/download/download-easy.html
2. Na een succesvolle installatie, voert u de browser en wacht tot de initialisatie.
3. Typ in de adresbalk: [redacted] 4. Volg de instructies op de site.
!!! Uw persoonlijke identificatie ID: [redacted] !!!”
De INSTRUCTION.html bestand heeft ook een soortgelijke losgeld bericht:
Beide sites gericht op het slachtoffer, waarvan de bestanden worden versleuteld door Locky's .zzzzz variant op de traditionele voor deze familie van malware leiden Locky Decryptor webpagina.
Wat is Locky's Encryption en waarom ik kan niet worden geopend My Files?
Het virus is een van de sterkste als het gaat om de encryptie van de gebruiker bestanden. In feite, Het is voorgeprogrammeerd om een breed scala van bestandsextensies versleutelen, meer dan 400:
→ .001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1CD, .3dm, .3ds, .3fr, .3g2, .3gp, .3per, .602, .7van, .7ritssluiting, .BOOG, .CSV, .DOC, .PUNT, .MYD, .VERKOCHT, .NEF, .PAQ, .PPT, .RTF, .sqlite3, .SQLITEDB, .XLS, .aac, .ab4, .accdb, .ACCDE, .accdr, .accdt, .maar, .acr, .handelen, .adb, .adp, .advertenties, .aes, .AGDL, .naar, .aiff, .behoren tot, .al, .aoi, .APJ, .apk, .ARW, .ASC, .asf, .persoon, .adder, .aspx, .Bedrijfsmiddel, .asx, .avi, .awg, .terug, .backup, .backupdb, .achter, .bank, .knuppel, .baai, .bdb, .bgt, .bik, .bak, .PKP, .mengsel, .bmp, .bpw, .BRD, .bsa, .cdf, .cdr, .CDR3, .CDR4, .cdr5, .cdr6, .cdrw, .cdx, .CE1, .CE2, .hemel, .cfg, .cgm, .zak, .klasse, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .CR2, .krop, .crt, .CRW, .cs, .csh, .CSL, .csr, .css, .csv, .d3dbsp, .Dacian, .de, .dat, .db, .db3, .db_journal, .dbf, .dbx, .DC2, .DCH, .dcr, .dcs, .ddd, .dok, .NRW, .DDS, .de, .van de, .ontwerp, .DGC, .dif, .onderdompeling, .dit, .DJV, .djvu, .DNG, .dokter, .docb, .docm, .docx, .punt, .DOTM, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .DXG, .computer, .eml, .eps, .erbsql, .erf, .EXF, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .VFL, .flv, .flvv, .smederij, .FPX, .frm, .FXG, .gif, .GPG, .grijs, .grijs, .groepen, .spel, .gz, .hbk, .hdd, .hpp, .html, .HWP, .iBank, .ibd, .FLR, .idx, .IIF, .IIQ, .incpas, .indd, .IWI, .pot, .Java, .JNT, .jpe, .jpeg, .jpg, .js, .KC2, .kdbx, .kdc, .sleutel, .kpdx, .geschiedenis, .laccdb, .leggen, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .logboek, .ltx, .nemen, .m2ts, .m3u, .m4a, .m4p, .M4U, .m4v, .mapimail, .max, .mbx, .md, .CIS, .mdc, .MDF, .mef, .MFW, .midden, .mkv, .mlb, .MML, .MMW, .mny, .Moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .MRW, .MS11, .msg, .wereld, .n64, .nd, .ndd, .NDF, .naaf, .NK2, .geen P, .nrw, .ns2, .ns3, .NS4, .nsd, .nsf, .NSG, .nsh, .nvram, .NWB, .NX2, .nxl, .nyf, .OAB, .obj, .spec, .Episode, .odf, .antwoord, .odm, .Antwoorden, .ODS, .odt, .ogg, .olie, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .er, .p12, .P7B, .p7c, .helpen, .pagina's, .niet, .tikje, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .neus, .pl, .plc, .plus_muhd, .png, .pot, .POTM, .potx, .PPAM, .pps, .PPSM, .ppsx, .ppt, .PPTM, .pptx, .PRF, .ps, .psafe3, .psd, .pspbestand, .pst, .ptx, .pwm, .py, .qba, .QBB, .qbm, .qbr, .QBW, .QBX, .QBY, .qcow, .qcow2, .zijn, .r3d, .raf, .rar, .Rat, .rauw, .rb, .RDB, .RE4, .rm, .rtf, .rvt, .RW2, .RWL, .RWZ, .s3db, .veilig, .sas7bdat, .SAV, .opslaan, .zeggen, .sch, .sd0, .sda, .sdf, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .SR2, .SRF, .srt, .SRW, .ST4, .ST5, .st6, .st7, .ST8, .stc, .soa, .sti, .stm, .stw, .STX, .svg, .swf, .sxc, .SXD, .sxg, .zij, .sxm, .sxw, .neemt, .tar.bz2, .TBK, .tex, .tga, .tgz, .thm, .tif, .tiff, .pcs, .tekst, .algemeen, .UOT, .UPK, .vb, .vbox, .vbs, .VDI, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .dichtproppen, .portemonnee, .wav, .wb2, .wk1, .wkn, .wma, .wmv, .WPD, .wps, .x11, .X3F, .film, .xla, .xlam, .XLC, .XLK, .xlm, .xlr, .xls, .XLSB, .xlsm, .xlsx, .xlt, .XLTM, .xltx, .xlw, .xml, .ycbcra, .yuv, .ritssluiting
Bestanden die zijn gecodeerd zal de extensie met de repeaded “z” brief te hebben en worden niet meer openen. De encryptie geloofd moet worden gebruikt voor deze bestanden is AES-128 in combinatie met een cijfer dat is RSA-2048 en produceert een unieke decryptie sleutel voor elke infectie.
Nadat dit is gedaan, Locky ransomware kunnen back-ups en andere bestanden geschiedenis met behulp van de vssadmin opdracht verwijderen.
Hoe ben ik besmet met Locky .zzzzz?
Alles wat er nodig is om besmet zijn met Locky ransomware's .zzzzz variant geworden is om een phishing e-mail die zich voordoet als een legitiem zijn te openen. Hier is een voorbeeld van een infectie, eerder ontdekt:
→ "Geachte klant,
Groeten uit Amazon.com
Wij schrijven om u te laten weten dat het volgende item is verzonden met behulp van Royal Mail.
Voor meer informatie over de levering schattingen en eventuele openstaande orders, bezoek alstublieft: {web link}
Jouw bestelling {bestellingsnummer}”
De e-mails hebben een kwaadaardige archief (.Zip bestand) die is vernoemd "BESTELLEN-{Aantal}.ritssluiting}”. Als de gebruiker is onervaren genoeg om te downloaden en de kwaadwillige .js bestand in het archief dat kan pretenderen te openen voor een Microsoft Office of een Adobe-document, ze onmiddellijk raken ingespoten met een JavaScript protocol dat de infectie veroorzaakt met Locky.
Hoe te verwijderen Locky Ransomware en herstellen gecodeerde bestanden
Om het virus te raden wij u aan een geavanceerde anti-malware programma te gebruiken in geval volledig te wissen je gebrek aan ervaring in het verwijderen van malware. Het zal professioneel alle objecten in verband met Locky op uw computer op een snelle manier te verwijderen.
Om te proberen en herstellen van uw bestanden zijn er verschillende alternatieve methoden liggen voordat je:
- Data Recovery Software.
- Shadow Backups herstellen (indien intact)
- Network Sniffer.
- Probeer derden decryptors na een back-up van de gecodeerde bestanden. (ze niet proberen op de originele exemplaren van de gecodeerde bestanden, alleen op andere exemplaren)
Deze methoden mogen niet 100% effectief, maar ze kunnen effectief genoeg zijn om ten minste een deel van uw bestanden te herstellen.