"Receipt_{UniqueNumber}.HTA - זהו קובץ מצורף לדואר אלקטרוני זיהתה לראשונה לגרום זיהומים בנגיף Locky לשמצה. Locky כופר כבר באמצעות כופר מני גרסאות באמצעות .odin, .zepto סיומות קבצים .locky, אבל את הגרסה האחרונה של וירוס זה היא בעלי סיומת קובץ .shit הייחודית. החלק הגרוע ביותר של זה הוא כי הנגיף הוא וולגרי כמו סיומת הקובץ של זה מרמזת. מי נדבק בוירוס עם וריאנט הווירוס רחב .shit הקובץ של Locky, לא צריך לשלם דמי כופר ולקרוא את המידע במאמר זה.
הורד כלי להסרת תוכנות זדונית, כדי לראות אם הושפעה Locky כופר וירוס לסרוק את המערכת עבור וירוס .SHIT קבצי מערכת
Locky כופר - פרטים נוספים
שרתי פיקוד ובקרה זדונית של גרסה זו של כופר Locky הם האמינו להדביק אנשים ממדינות שונות,כמו:
- ערב הסעודית
- צרפת
- פולין
- הממלכה המאוחדת
- גרמניה
- סרביה
הנה רשימה עם כמה אתרי הורדות מטען של .סיומת קובץ חרא
לא רק זה, אבל גם את הווירוס הכופר Locky דווח נוסף על ידי operaions6 חוקר (טוויטר: @ _operations6) להיות מזוהה עם המארחים שרת שליטה ובקרה הבאים דרך סוג linuxsucks.php של קובץ על Port80:
- 185.102.136.77
- 91.200.14.124
- 109.234.35.215
- Bwcfinnt.work
ברגע בפריסה החדשה של הנגיף מדביק Locky המחשב, זה עלול מייד לשנות את הטפט שלך מכתב כופר דומה הכופר המקורי של Locky בתמונה למטה:
אחרי זה נעשה, הכופר עשוי למחוק את עותקי צל נפח ביצוע הפקודה הבאה:
→vssadmin הצללים המחיקים / forvolume ={כונן ממוקד, בדרך כלל C:} /כל / שקט
המצב השקט / של הנגיף שואף בעיקר כדי לעשות את זה למחוק את הגיבויים ועותקי צל (היסטורית קובץ) מהמחשב המושפע בצורה מאוד ספציפית ללא קורבן לב לזה.
בנוסף לאלו, וירוס Locky החדש עשויים להוסיף מחרוזות ערך רישום במיקום האמיתי של זה קבצים זדוניים במחשב. המיקום בפועל של קבצים עשוי להיות:
- %AppData%
- %% מקומי
- %נדידה%
- %SystemDrive%
כדי להצפין קבצים, וירוס Locky מטרות רשימה מתוכנתת מראש ספציפית של סיומות קבצים, אשר מזוהה לעתים קרובות עם קבצים בשימוש כמו קטעי וידאו, מוזיקה, תמונות, סוג של קבצים קוראים Microsoft Office ו- Adobe. הסיומות של קבצים אלה עשויות להיות כדלקמן:
→.doc, .docm, .יומן, .רֶסֶק, .מידע, .gdoc- קובץ, .עֶכֶן, .JSP, .JSON, .XHTML, .טקסט, .xls, .xlsx, .XML, .docx, .html, .JS, .MDB, .ODT, .asc, .conf, .msg, .rtf, .cfg, .cnf, .pdf, .PHP, .ppt, .pptx, .SQL
הקבצים כבר מוצפן על ידי במאי כופר Locky החדש הוסיף שזה סיומת הקובץ .shit הייחודי אופייני זה וריאנט ועלול להיראות כדלקמן:
Locky כופר .Shit וריאנט – איך הגעתי מאשרום
הווירוס מופץ בעיקר באמצעות קובץ .hta המתיימר להיות קבלה, לדוגמה:
→ Receipt_2414_241412.hta
קובץ זדוני זה אין שיעור גילוי גבוה VirusTotal דבר המצביע על זה יש את הפוטנציאל לגרום נזק עצום.
קובץ .hta הזדוני שעלול להיות להפיץ באמצעות מספר נושאים שונים דואר אלקטרוני, השוכב למשתמשים כי הם רכשו משהו מאתרים כמו eBay או אמזון וזה קבל.
לאחר שהקובץ נפתח הוא מדביק את המחשב נפרץ הורדות בלתי מזוהות המטען הזדוני של וירוס Locky החדש. לשם כך הוא עשוי להתחבר המארחים מרחוק דיווחו הבאים שממנו זיהומים שהורדו:
→www.rawahyl(.)com / 076wc
Nanrangy(.)נטו / 076wc
Ledenergythai(.)com / 076wc
Sowkinah(.)com / 076wc
Cynosurejobs(.)נטו / 076wc
3ainstrument(.)com / 076wc
Grupoecointerpreis(.)com / 076wc
Wamasoftware(.)com / 076wc
Variant Locky .Shit Ransowmare - סיכום, שיקום הוצאת קובץ
השורה התחתונה היא כי היוצרים של כופר Locky חזרו לאחר ירידה משמעותית של זיהומים כופרים על ידי וירוס זה. הווירוס החדש שלהם מוסיף סיומת קובץ ייחודית ".shit" לקבצים המוצפנים אשר אינם פָּתִיחַ. הווירוס הוא האמין לשימוש אלגוריתם הצפנת AES מתקדם כדי לטרוף את הקוד של קבצים שיש מוסף רב וטכניקות התחמקות אליו.
לא רק זה, אבל הכופר הוא האמין גם לשאול תשלום כופר גבוה, ככל הנראה ב מטבע מבוזר כמו Bitcoin מן שזה קורבנות. במקרה אתה כבר נגוע וריאנט .shit זו של כופר Locky, זה מאוד מומלץ להסיר לאלתר את הווירוס הזה. מאז להסרה ידנית לא יכולה לעשות את העבודה בשבילך, אלא אם כן יש לך ניסיון רב וירוס זה, אנו מייעצים לך למחוק אותו באופן אוטומטי באמצעות כלי נגד תוכנות זדוניות מתקדמות כי יעשה זאת מבלי לפגוע עוד יותר את הקבצים המוצפנים.
למרבה הצער בזמנים הנוכחי אין פענוח שיעזור לך, בשל העובדה כי הווירוס חדש. למרות זאת, מומלץ לנסות להעלות את הקבצים כופרים מזהה ולחכות לחוקרים לבוא עם decryptor חינם במוקדם או במאוחר. כדאי גם לנסות תוכנה לשחזור נתונים, אבל לא למחוק את הקבצים המוצפנים או להתקין מחדש את Windows כי ייתכן שתצטרך אותם אם decryptor חינם הוא שוחרר על ידי חוקרים זדוניים. לחדשות נוספות על decryptors לבדוק Kaspersky ו Emsisoft כמו גם טרנד מיקרו.
הורד כלי להסרת תוכנות זדונית, כדי לראות אם הושפעה Locky כופר וירוס לסרוק את המערכת עבור וירוס .SHIT קבצי מערכת