גרסה חדשה של כופר Locky לשמצה הופיעה, צירוף סיומת קובץ .thor. הגרסה מייד צצה לאחר וריאנט אחר שסיומת קובץ .shit התפוצצה עם זיהומים במדינות שונות בכל רחבי העולם. גרסת .thor של Locky מאוד מסוכנת זוהה אם, העצה היא להסיר אותה מיד עם תוכנית נגד תוכנות זדוניות ולא לשלם את הכופר המבוקש 0.5 BTC.
הורד כלי להסרת תוכנות זדונית, כדי לראות אם הושפעה Locky כופר וירוס לסרוק את המערכת עבור וירוס .SHIT קבצי מערכת
Locky .thor וריאנט - מה זה עושה (תיאור מתודולוגיים)
השלב הראשון של הנגיף הכופר הוא שזה יהיה נפוץ. כדי שזה יושג, יוצרי הווירוס השתמשו שיטת הצגה ערמומית אך צפוי למדי. הם משתמשים הודעות דואר אלקטרוניות דואר זבל עם contant השונה שמטרתם לגרום למשתמשים שנמנים לתוך פתיחת קובץ לארכיון עם שם, בדומה הבא:
לאחר שהקובץ בארכיון נפתח, זה עשוי להכיל קובץ הוא אחד מסוגי הקבצים הבאים
ברגע שהמשתמש פותח את הקובץ הזה, תהליך ההדבקה החל. קובץ הזיהום מתחבר מרחוק על אחד ממאות המארחים להוריד המטען של Variant .thor של כופר Locky.
לאחר שקובץ המטען כבר הורד, הווירוס כופר מיד הופך לפעיל בכך שאתחיל לשנות הגדרות Windows.
בתחילה הוא מתחבר לשרתי שליטה ובקרה להתחיל להסתמך מידע לחיות באשר לשאלה האם או לא את הזיהום הוא מוצלח ומה למשתמש זדוני רוצה לעשות עם המחשב הנגוע. מפקדות Locky עד כה דווחו להסתתר מאחורי בתחומים הבאים:
fvhnnhggmck.ru/linuxsucks.php
krtwpukq.su/linuxsucks.php
tdlqkewyjwakpru.ru/linuxsucks.php
185.102.136.77:80/linuxsucks.php
91.200.14.124:80/linuxsucks.php
91.226.92.225:80/linuxsucks.php
77.123.14.137:221/linuxsucks.php
בין קבצי ירד של Locky Ransowmare הוא קובץ DLL כי הוא אחראי על הצפנת קבצים. הנגיף עשוי לבצע מיד את הקובץ, משהו שעשוי גם להיות ידוע ככונן-ידי הורדה. למרות זאת, גרסת .thor של Locky יכולה גם ושחררה את הקובץ בספריית% Startup% או לשנות את מפתחות רישום Run ו- RunOnce כך Encryptor פועל על ההפעלה של Windows.
לאחר ההצפנה כבר רצה, בדיוק כמו .סיומת קובץ חרא וריאנט של Locky, גרסה זו עשויה גם לנקום על המחשב שלך. זה מייד טיפות זה פתקים כופרים ייחודיים, אשר מהווים טפטים קובץ _WHAT_is.html.
הפתק משני מוביל URL ייחודי השייך כופר Locky שבה יש הוראות נוספות על איך ליצור ארנק ביטקוין ולשלם כופר זו הדרך.
לאחר ההצפנה נעשתה, גרסה .thor של Locky מוודא את הגרסאות המקוריות של קבצים נעלמו לעד, על ידי יצירת עותקים של קבצים מוצפנים "דריסה" את הקבצים המקוריים דרך מעברי מספר למחיקה. זה גם מוחק עותקים Volume Shadow, למקרה שיש כמה עם הפקודה הבאה מוזרק באמצעות Windows שורת הפקודה.
כיצד אני מסיר Locky כופר ו פענוח .thor קבצים?
למרבה הצער עבור כל Locky וריאנטים, שם טרם גילה פענוח קובץ יחיד. אתה יכול, עם זאת לבצע מספר משימות אחרות, כמו ניסיון למצוא את מפתח הפענוח המתאים Encryptor של Locky אשר מוצפן הקבצים שלך וגרם להם להיראות כמו הבא:
אחת השיטות לעשות זאת היא באמצעות תוכנת מרחרח רשת, עם זאת אתה צריך לתפוס את הרגע שבו התוכנות הזדוניות שולחות מידע דרך HTTP, UDP או TCP לשרת C2 הזדוני.
דרך נוספת לקבל את המפתח היא על ידי תשלום הכופר אשר אינו מומלץ. במקום שאתה יכול לנסות להשתמש בתוכנה לשחזור נתונים ולנסות לשחזר חלק מהקבצים שלך על ידי סריקת סקטורים של הכונן הקשיח.
הורד כלי להסרת תוכנות זדונית, כדי לראות אם הושפעה Locky כופר וירוס לסרוק את המערכת עבור וירוס .SHIT קבצי מערכת