Denne artikel forklarer, hvad er .diablo6 krypterede filer og hvad er den seneste Locky Decryptor ransomware virus. Det viser også, hvordan du gendanner .diablo6 krypterede filer og hvordan du fjerner Locky Decryptor virus fuldt.
Den mest ødelæggende ransomware i verden lige nu – Locky ransomware er tilbage! Den virus denne gang anvender avancerede e-mail-ordninger, der enten indeholder ondsindede weblinks til at sprede det eller e-mail-spam, uden emne og beskeder ligner “Filer vedhæftet. Tak!”. De e-mails har en .vbs script fil i dem som .ZIP arkiveret og når du åbner filen, den .diablo6 Locky virus inficerer din computer system. Virussen er meget farligt, og brugerne er advaret om at være forsigtig, som det anvender sofistikeret RSA + AES-kryptering kombination til at kryptere filerne på inficerede computere. Hvis du er blevet smittet med .diablo6 variant af den berygtede Locky ransomware, Vi anbefaler kraftigt, at du læser vores blogindlæg og lære, hvordan du fjerner Locky ransomware og hvordan man kan gendanne dine krypterede filer uden at skulle betale løsesummen.
Trussel Navn | Locky Ransomware |
Kategori | ransomware-virus. |
Main Activity | Inficerer computeren efter som krypterer vigtige dokumenter og holder dem som gidsler, indtil en løsesum er betalt. |
Tegn på Presence | Filer er krypteret med den .diablo6 filtypenavn. |
Sprede | Via ondsindet e-mail-spam og sæt infektion værktøjer. |
Påvisning + udsendelse | DOWNLOAD Removal Tool TIL Locky Ransomware |
File gendannelse | Hent Data Recovery Software, for at se, hvor mange filer krypteret af Locky Ransomware ransomware du vil være i stand til at inddrive. |
Locky .diablo6 Ransomware Virus Tekniske Specifikationer
1.Fordeling
Sikkerhedseksperter har opdaget, at den .diablo6 iteration af Locky distribueres via spam-meddelelser, der indeholder ondsindede e-mails med vedhæftede filer i form af .zip-filer. Navnet på arkivet er ”E-2017-{måned}-{dag}-{UniqueID}.zip”.
Teksten selve e-mailen var som det følger:
Kære {Fornavn},
Vi har modtaget spam udsendelsen fra din adresse nylig. Indhold og logning af sådanne meddelelser er i den vedhæftede fil.
Venligst undersøge det og kontakte os.
Med venlig hilsen,
Edith Hancock
ISP Support Tlf.: (840) 414-21-61
Hvis du modtager en lignende email, pas på, at det er spam indeholder malware, og du bør ikke åbne noget i det under ingen omstændigheder.
2.Infektion detaljer
Den .diablo6 iteration af Locky er ikke meget anderledes end de tidligere versioner, især .loptr ene. Den .diablo6 varianten bruger JavaScript filer og kunne også ansætte Vbs filer til infektionsprocessen. Når infektionen er initieret, Locky ville fortsætte med kryptering. Krypteringen proces ændrer strukturen af offerets filer, så det er umuligt at åbne dem. Den krypteringsalgoritme mest sandsynligt anvendte AES + RSA. Det bruger de følgende værter, som virussen forbinder at inficere din computer, rapporteret af Derrick Farmer (@ Ring0x0):
- hxxp://binarycousins.com/y872ff2f?
- hxxp://aedelavenir.com/y872ff2f?
- hxxp://campusvoltaire.com/y872ff2f?
- hxxp://beansviolins.com/y872ff2f?
- hxxp://aisp74.asso.fr/y872ff2f?
- hxxp://tasgetiren.com/y872ff2f?
- 91.234.35.106/checkupdate
- 31.202.130.9/checkupdate
- 193.106.166.105
Husk på, at disse værter ikke kan være faktiske dem, da de kan være skjult bag VPN tunneler eller fuldmagter.
Den seneste variant af denne virus er afhængig af C2-servere (Kommando og kontrol) for at kontrollere virus og mange værter i tilknytning til disse servere til spredning af virus. Ud over dette, nyttelasten af virus er udstyret med to formater - HTML filtype og JavaScript downloadet malware. Ikke kun dette, men filerne har også to udvidelser, der gør dem mere undvigende. Den filtypenavne .hta til HTML filtype og .wsf for Java Downloader bliver brugt. De er også skjult under en unik .zip type filer, der kan skjule infektionen filer fra enhver spamfiltre eller e-mail-beskyttelse software.
Ikke kun dette, men nyttelasten af filerne har også navnet Kvittering der har tilfældige tal og bogstaver og har til formål at ligne en egentlig kvittering fra en vare eller tjenesteydelse, der er blevet købt. Denne smarte teknik til at motivere ofre for at betale løsesummen er en meget snu én, fordi nogen vil få nysgerrige, især hvis de ikke indser, de har faktisk betalt for noget.
Men virus kan ikke blot blive gentaget via e-mail. Det kan også blive lagt ud på kommentarer og andre unikke hjemmesider, der giver brugerne mulighed for at skrive weblinks. Sådanne weblinks kan selv være legitimt at undgå at blive opdaget, men de kan også indeholde et skadeligt script, der kan forårsage en infektion ved at omdirigere brugeren fra ”legitime” web link til en ondsindet én.
Så snart Locky virus kryber på din computer, det kan forårsage en genstart og begynde at kryptere filer på Windows Boot Up og viser så er det løsesum notat, som når den åbnes, ligner det følgende:
Hvis du vil kryptere filerne på .diablo6 version af Locky ransomware scanner for de typer af filer, som du oftest kan bruge, såsom:
- Dine videoer.
- lydfiler.
- Billederne.
- Alle de Microsoft Office-dokumenter.
- Adobe Reader, Photoshop og andre filer, der er forbundet med ofte anvendte type programmer.
Når Locky er færdig kryptere filerne på den inficerede computer, det næste skridt er at tilføje den .diablo6 filtypenavn, hvilket gør det særprægede. Filer krypteret af den .diablo6 virus også blevet uinddrivelige primært på grund af det faktum, at deres struktur koden ændres. Dette er opnåeligt ved en unik krypteringsalgoritme, som forskere mener at være RSA eller AES-kryptering, eller endog begge bruges sammen.
Sådan fjernes Locky Decryptor Ransomware og gendannelse .diablo6 filer
For den fulde instruktioner om, hvordan du fjerner Locky .diablo6 ransomware og gendanne dine filer, kontrollere nedenstående trin.
Den nederste linje er, at .diablo6 Locky ransomware skabere var tilbage efter et betydeligt fald af ransomware infektioner af denne virus. Deres nye virus tilføjer en unik ”.diablo6” fil udvidelse til de krypterede filer, der ikke længere oplukkelig. Den virus menes at bruge en avanceret AES + RSA-kryptering algoritme til at forvrænge det koden for de filer, og at have mange ekstra undvigende teknikker til det.
Ikke kun dette, men ransomware menes også at spørge højere løsesum betaling, mest sandsynligt i cryptocurrency ligesom Bitcoin fra det ofre. I tilfælde af at du er blevet inficeret af denne .diablo6 Locky variant af Locky ransomware, er det stærkt tilrådeligt at straks at fjerne denne virus. Da manuel fjernelse ikke kan gøre arbejdet for dig, medmindre du har en stor erfaring i denne virus, vi råde dig til at slette den automatisk ved hjælp af et avanceret anti-malware værktøj, der vil gøre det uden yderligere skade de krypterede filer.
Desværre på nuværende tidspunkter er der ingen dekryptering, der vil hjælpe dig, på grund af det faktum, at virussen er ny. Dog, du måske ønsker at forsøge at uploade dine filer til ID ransomware og vente for forskere at komme op med en gratis dekrypteringsenhed før eller senere. Du kan også vælge at prøve datagendannelse software, men IKKE slette de krypterede filer eller geninstallere Windows, fordi du kan have brug for dem, hvis en fri dekrypteringsenhed er udgivet af malware forskere.
Opstart i fejlsikret tilstand
Til Windows:
1) Holde Windows Key og R
2) En run vindue vises, i det typen “msconfig” og ramte Gå ind
3) Efter vises gå til fanen Boot og vælg Sikker start
Skær Locky Ransomware i Task Manager
1) Trykke CTRL + ESC + SHIFT på samme tid.
2) Find den “Processer” fane.
3) Find den ondsindede processen med Locky Ransomware, og ender det opgave ved at højreklikke på den og klikke på “Afslut proces”
Eliminer Locky ransomware s Ondsindede Registre
For de fleste Windows-varianter:
1) Holde Windows-knap og R.
2) i “Løb” box type “Regedit” og ramte “Gå ind”.
3) Holde CTRL + F nøgler og typen Locky ransomware eller filnavnet på det skadelige eksekverbare af virus, som normalt er placeret i% AppData%, %Midlertidig%, %Lokal%, %Roaming% eller% SystemDrive%.
4) Efter at have placeret ondsindede registreringsdatabasen objekter, hvoraf nogle er normalt i Run og RunOnce undernøgler slette dem ermanently og genstart computeren. Her er hvordan man kan finde og slette nøgler til forskellige versioner.
Til Windows 7: Åbn menuen Start, og i søgningen type og skriv regedit ??> Åbn den. ??> Hold CTRL + F knapper ??> Type Locky Ransomware virus i søgefeltet.
Vinde 8/10 brugere: Start-knap ??> Vælg Kør ??> skriv regedit ??> Hit Enter -> Tryk på CTRL + F-knapper. Skriv Locky Ransomware i søgefeltet.
Automatisk fjernelse af Locky Ransomware
Genoprette filer krypteret af Locky Ransomware Ransomware.
Metode 1: Brug Shadow Explorer. Hvis du har aktiveret Filhistorik på din Windows maskine én ting du kan gøre er at bruge Shadow Explorer til at få dine filer tilbage. Desværre er nogle ransomware vira kan slette disse skygge volumen kopier med en administrativ kommando til at forhindre dig i at gøre netop det.
Metode 2: Hvis du forsøger at dekryptere dine filer ved hjælp af tredjeparts dekryptering værktøjer. Der er mange antivirus udbydere, der har dekrypteret flere ransomware vira de sidste par år, og bogført decryptors for dem. Chancerne er, hvis din ransomware virus bruger den samme kryptering kode, der bruges af en dekrypteres virus, du kan få filerne tilbage. Dog, dette er heller ikke en garanti, så du måske ønsker at prøve denne metode med kopier af de originale krypterede filer, fordi hvis en tredjepart program piller ved deres krypterede struktur, de kan blive beskadiget permanent. Her er de leverandører til at søge:
- Kaspersky.
- Emsisoft.
- TrendMicro.
Metode 3: Brug af Data Recovery værktøjer. Denne metode er foreslået af flere eksperter på området. Det kan bruges til at scanne din harddisk ?? S sektorer og dermed forvrænge de krypterede filer på ny, som om de blev slettet. De fleste ransomware virus normalt slette en fil og oprette en krypteret kopi at forhindre sådanne programmer for at genoprette filer, men ikke alle er dette sofistikerede. Så du kan have en chance for at genskabe nogle af dine filer med denne metode. Her er flere data recovery programmer, som du kan prøve og genoprette det mindste nogle af dine filer: