Andere variant van de verwoestende Locky ransomware virus is gedetecteerd door malware onderzoekers in de open lucht aan de som van de vraag 3 BTC als losprijs op geïnfecteerde computers. Het virus wordt voornamelijk gericht op het versleutelen van bestanden van computers van de slachtoffers, waarna waardoor ze met de .osiris bestandsextensie. Deze variant verschilt meeste Locky ransomware varianten voornamelijk door enkele aanvullingen op de wijze van verspreiding van het virus en de extensie, met behulp van een Egyptische god in plaats van het af en toe een Noorse goden die in de vorige versies van de malware.

Locky .osiris File Virus - How Does It Infect

De makers van Locky ransomware vast aan de bekende werkwijze voor het spreiden van de malware, met behulp van spam campagnes om het te repliceren via e-mail. E-mail berichten die worden gebruikt door de makers van Locky worden beschouwd als de belangrijkste bedreiging voor de gebruikers. De e-mails worden gemeld aan het volgende type bestanden die de infectie veroorzaken bevatten:

• .xls-bestand met een willekeurige naam zoals _2234_214252_
• .js en .wsf (JavaScript)
• .hta, .html, .htm (leiden tot kwaadaardige web hosts)
• .vbs (Visual Basic Script) dat dat in direct infectie

Deze bestanden worden meestal opgeslagen in archieven zoals .zip en .rar archieven die soortgelijke of dezelfde namen als de bijlagen bij detectie door e-mail security providers’ te vermijden. De nieuwste Locky variant met behulp van de .osiris bestandsextensie is gemeld aan een bestand te gebruiken, benoemd als “Osiris.htm” of een “.xls” bestand met willekeurige getallen als een naam.

Zodra de gebruiker klikt op het bestand, versluierd acties kunnen direct aan te sluiten op een van de vele Locky distributie websites:

Nadat verbonden met die webistes, de malware kan een versluierd payload downloaden cruciale Windows-mappen, zoals eerder gedetecteerd door Hybride-analyse a1.exe bevattende Locky, gevestigd in %Temp%.

Tot nu toe is gemeld aan vooraf worden geconfigureerd om bestandstypen die hetzelfde zijn als de vorige versies zijn te versleutelen, zoals de .aesir, .stront, .zzzzz Locky varianten. Dit geldt ook voor het versleutelen vaakst met de bestandsformaten van:

• Afbeeldingen.
• Videos.
• Virtual drives.
• databasebestanden.
• Bestanden die worden geassocieerd met Microsoft Word.
• Microsoft Excel-bestanden.
• Bestanden in verband met Adobe Reader.
• Bestanden die iets gemeen met de meeste virtuele schijf spelers.

Zodra Locky .osiris infecteert deze bestanden, het virus begint de code van die bestanden te vervangen met aangepaste symbolen die behoren tot een zeer sterke encryptie-algoritme, genaamd AES-128. Deze bestanden te genereren dan unieke decoderingssleutel. Na deze pas, het virus maakt nog een keer met behulp van de ook zeer geavanceerde RSA-2048 encryptie-algoritme met de ene en enige doel van het genereren van unieke RSA publieke en private sleutels. Het virus kan dan verbinding maken met de c2 servers en stuur de decryptie toetsen op of houd ze op de geïnfecteerde computer voor een bepaalde Locky Decryptor die wordt verkocht voor BTC. Gecodeerde bestanden lijken op de hieronder genoemde voorbeeld:

Na versleuteling door deze Locky ransomware virus heeft afgerond, het virus onmiddellijk begint te vertonen een “Leesmij” .htm-bestand dat de volgende instructies heeft:

“Al uw bestanden worden versleuteld met RSA-2048 en AES-128 cijfers.
Meer informatie over de RSA en AES kan hier worden gevonden:
{links naar Wikipedia}
Decoderen van uw bestanden is alleen mogelijk met de persoonlijke sleutel en decoderen programma, die op ons geheim servers. Voor het ontvangen van uw private key te volgen een van de links:
Als al deze adressen zijn niet beschikbaar, Volg deze stappen:
1. Download en installeer Tor Browser: https://www.torproject.org/download/download-easy.html
2. Na een succesvolle installatie, voert u de browser en wacht tot de initialisatie.
3. Typ in de adresbalk: {unieke Locky URL}
4. Volg de instructies op de site.”

De instructies op de website zijn de standaard Locky Decryptor instructies die worden gebruikt in de meeste van zijn varianten - een webpagina met instructies over hoe om te kopen BitCoin en betalen voor een “Locky Decryptor”:

In aanvulling op deze bestanden OSIRIS-{RAND}.htm en shtefans1.spe worden ook toegevoegd op de geïnfecteerde computer onder andere bestanden.

Hoe te verwijderen Locky .osiris Virus en Restore My Files

In het geval dat je het gevoel dat het niet betalen van losgeld aan cyber-criminelen die al dan niet uw bestanden terug te krijgen, Wij raden u aan om Locky eerst te verwijderen van uw computer nadat die zich richten op het proberen om uw bestanden met behulp van alternatieve methoden te herstellen. Voor de veiligste en beste verwijdering van Locky .osiris ransomware experts raden het gebruik van een geavanceerde anti-malware tool die automatisch zal zorg dragen voor alle objecten Locky ransomware heeft bemoeid met.

Wij raden u aan om zorgvuldig de onderstaande stappen om Locky .osiris goed te verwijderen:

Stap 1: Download en installeer een geavanceerde anti-malware programma:

Stap 2: Opstarten van de computer in Veilige modus en scannen met het programma te verwijderen Locky .osiris herhaling.

Stap 3: Met behulp van data recovery tools. Deze methode wordt voorgesteld door meerdere deskundigen in het veld. Het kan gebruikt worden om de sectoren van uw harde schijf scannen en dus klauteren de versleutelde bestanden opnieuw alsof ze zijn verwijderd. De meeste ransomware virussen meestal een bestand te verwijderen en een versleutelde kopie aan dergelijke programma's te voorkomen voor het herstellen van de bestanden te maken, maar niet alle zijn deze verfijnde. Dus je kan een kans op herstel van sommige van uw bestanden met deze methode hebben. Hier zijn verschillende data recovery programma's die je kunt proberen en herstellen van ten minste enkele van uw bestanden: