"Bon, ontvangstbewijs_{Uniek nummer}.HTA - dit is de eerste e-mailbijlage gedetecteerd om infecties met de beruchte Locky virus veroorzaken. Locky ransomware is via meny ransomware varianten met behulp van de .odin, .Zepto en .locky bestandsextensies, maar de nieuwste variant van dit virus maakt gebruik van de unieke .shit bestandsextensie. Het slechtste deel van dit is dat het virus is zo vulgair als het de extensie suggereert. Iedereen die is geïnfecteerd met de .shit bestandsextensie virus variant van Locky, moet niet betalen het losgeld vergoeding en lees de informatie in dit artikel.
Download Malware Removal Tool, Om te zien of uw systeem is getroffen door Locky Ransomware Virus en scan je systeem voor .SHIT virusbestanden
Locky Ransomware - Verdere details
De kwaadaardige command and control servers van deze variant van Locky ransomware worden verondersteld om mensen uit verschillende landen te infecteren,zoals:
- Saoedi-Arabië
- Frankrijk
- Polen
- Verenigd Koninkrijk
- Duitsland
- Servië
Hier is Lijst met enkele van de payload download sites van .stront bestandsextensie
Niet alleen dit, maar ook de Locky ransomware virus is verder gemeld door de onderzoeker operaions6 (tjilpen: @ _operations6) worden betrokken bij de volgende command and control serverhosts via een linuxsucks.php type bestand op Port80:
- 185.102.136.77
- 91.200.14.124
- 109.234.35.215
- Bwcfinnt.work
Zodra de nieuwste iteratie van de Locky virus infecteert uw computer, het kan onmiddellijk uw behang te veranderen naar een losgeld notitie vergelijkbaar met Locky oorspronkelijke losgeldnota in de afbeelding hieronder:
Nadat dit is gebeurd, de ransomware kan de schaduw volume kopieën te verwijderen het volgende commando:
→vssadmin het verwijderen schaduwen / forvolume ={gerichte aandrijving, meestal C:} /allemaal stil
De / stille modus van het virus richt zich in de eerste plaats om het te maken van de back-ups en schaduwkopieën verwijderen (bestandsgeschiedenis) van de getroffen computer in een zeer specifieke manier zonder dat het slachtoffer merkt.
In aanvulling op de, de nieuwe Locky virus kan het register de waarde strings toe te voegen met de werkelijke locatie van het kwaadaardige bestanden op de computer. De werkelijke locatie van de bestanden kunnen zijn:
- %App data%
- %Local%
- %Roamen%
- %SystemDrive%
Om bestanden te versleutelen, de Locky virus richt zich op een specifieke voorgeprogrammeerde lijst met bestandsextensies, die wordt geassocieerd met vaak gebruikte bestanden zoals video's, muziek-, afbeeldingen, Microsoft Office en Adobe reader type bestanden. De uitbreidingen van die bestanden kan als volgt zijn:
→.dokter, .docm, .logboek, .pap, .info, .gDoc, .adder, .jsp, .json, .xhtml, .tekst, .xls, .xlsx, .xml, .docx, .html, .js, .CIS, .odt, .ASC, .conf, .msg, .rtf, .cfg, .cnf, .pdf, .php, .ppt, .pptx, .sql
De bestanden die versleuteld zijn door de nieuwe Locky ransomware mei voegde het onderscheidende .shit bestandsextensie typerend voor het variant en kunnen er als volgt uitzien:
Locky Ransomware .Shit Variant – How Did I Get Infected
Het virus wordt voornamelijk verspreid via een .hta bestand dat zich voordoet als een ontvangstbewijs, bij voorbeeld:
→ Receipt_2414_241412.hta
Dit kwaadaardig bestand niet beschikt over een hoge detectie-tarief op VirusTotal wat suggereert het heeft de potentie om een enorme schade veroorzaken.
De kwaadaardige .hta bestand kan worden verspreid via verschillende e-mail onderwerpen, liegen voor gebruikers dat ze iets van websites als eBay of Amazon en hebben gekocht dit is hun ontvangst.
Zodra het bestand is geopend het infecteert de besmette computer en downloads onopgemerkt de kwaadaardige lading van de nieuwe Locky virus. Om dit te doen kan verbinding maken met de volgende gerapporteerde externe hosts van waaruit infecties werden gedownload:
→www.rawahyl(.)com / 076wc
Nanrangy(.)net / 076wc
Ledenergythai(.)com / 076wc
Sowkinah(.)com / 076wc
Cynosurejobs(.)net / 076wc
3ainstrument(.)com / 076wc
Grupoecointerpreis(.)com / 076wc
Wamasoftware(.)com / 076wc
Locky .Shit Ransowmare Variant - Conclusie, Verwijderen en File Restoration
De bottom line is dat de makers Locky ransomware waren terug na een aanzienlijke daling van ransomware infecties door deze virus. Hun nieuwe virus voegt een unieke “.shit” bestandsextensie om de gecodeerde bestanden die niet langer geopend zijn. Het virus wordt verondersteld om een geavanceerde AES-encryptie-algoritme te gebruiken om de code van de bestanden versleutelen en vele extra ontwijkende technieken om het te hebben.
Niet alleen dit, maar de ransomware wordt ook verondersteld om hoger losgeld betaling vragen, waarschijnlijk in cryptogeld zoals BitCoin van het slachtoffer. In het geval dat u besmet door deze .shit variant van Locky ransomware, is het sterk aan te raden om dit virus onmiddellijk te verwijderen. Omdat handmatige verwijdering niet het werk kan voor u doen, tenzij u een uitgebreide ervaring in dit virus, raden wij u aan deze te verwijderen automatisch met behulp van een geavanceerde anti-malware tool die het zal doen zonder verdere beschadiging van de versleutelde bestanden.
Helaas is bij de huidige tijden is er geen decryptie die u zullen helpen, vanwege het feit dat het virus is nieuw. Echter, wilt u misschien proberen het uploaden van uw bestanden naar ID ransomware en te wachten voor onderzoekers om vroeg of laat worden geleverd met een gratis decryptor. U kunt ook data recovery software proberen, maar NIET de gecodeerde bestanden te verwijderen of Windows opnieuw te installeren omdat je ze nodig hebben als een gratis decryptor wordt vrijgegeven door malware onderzoekers. Voor meer nieuws over decryptors controleren Kaspersky en Emsisoft evenals Trend Micro.
Download Malware Removal Tool, Om te zien of uw systeem is getroffen door Locky Ransomware Virus en scan je systeem voor .SHIT virusbestanden