Locky כופר חוזר שוב, הפעם צירוף רחב .aesir לקבצים של הקורבן. נראה כי פושעי הסייבר מאחורי Encryptor הכופר שמשתנה ללא הרף בכוונה בחרו את השם של האל הנורדי Aesir. זהו אכן המשך של שמות סיומת קובץ שנבחרו בקפידה בעיצוב מעמד האל הדמוי של Locky בעולם הכופר. .ת'ור, .locky, .אודין, ועכשיו חזרות .aesir כולם הרסניות לא פחות למשתמש. זה בטוח להניח שכל פושעי סייבר הפצת תוכנות זדוניות רוצים להשיג את ההצלחה של Locky, ניכר על ידי חקייני Locky. למעשה, יש כל המשפחות הכופרות הגדולות עמיתיהם הלא כל כך מתוחכמים, כי הם לפעמים די קלים לפענח. לצערי זה לא המקרה עם Locky וכל חזרות שלה.
Locky .aesir כופר וירוס פרטים טכניים
1. הפצה
חוקרי אבטחה גילה כי איטרציה Aesir של Locky מופצת באמצעות הודעות דואר זבל המכילות קבצים מצורפים לדואר אלקטרוני זדוניים בצורה של קבצי ה- zip. שמו של הארכיון הוא "logs_{אקראי-id}.רוכסן".
גוף הטקסט של ההודעה הדוא"ל היה כפי שהוא עוקב:
יקר {שם פרטי},
אנחנו כבר מקבלים mailout זבל מהכתובת שלך לאחרונה. תוכן ורישום של הודעות כאלה נמצאים מצורפים.
נא להסתכל לתוכו לפנות אלינו.
כל טוב,
אדית הנקוק
תל תמיכה ISP.: (840) 414-21-61
אם תקבל הודעה בדוא"ל דומה, היזהרו שזה זדוניות זבל המכיל ואתה לא צריך לפתוח שום דבר בו בשום פנים ואופן.
2. פרטי זיהום
האיטרציה Aesir של Locky אינה שונה בהרבה מזו של גרסאות קודמות, במיוחד אחד .shit. האיטרציה Aesir משתמשת קבצי Javascript וגם יכול להעסיק קבצי .hta לתהליך זיהום. לאחר ההדבקה הוא יזם, Locky היה להמשיך עם ההצפנה. תהליך ההצפנה משנה את מבנה הקבצים של הקורבן, כך שאי אפשר לפתוח אותם. אלגוריתם ההצפנה הסביר להניח שהשתמש הוא AES.
הסר .aesir וירוס כופר ושחזור קבצים מוצפנים
משתמשי Infected צריכים להסיר באופן מיידי את הכופר, רצוי דרך תכנית נגד תוכנות זדוניות חזקה. למרות זאת, קורבנות צריכים גיבוי ראשון קבצים מוצפנים.
משם, חוקרים זדוניים ממליצים מאוד נגד לשלם את דמי הכופר ישירות של איטרציה Aesir של Locky ובמקום להתמקד בשיטות אחרות לנסות לשחזר את הקבצים שלהם, דהיינו:
- תוכניות שחזור נתונים.
- כל עותק צל של Windows.
- באמצעות רשת מריח כדי לשחזר את הקבצים המוצפנים ידי איתור מפתח הפענוח הכופר קארמה שולח אל-פושעי הסייבר.