Övriga variant av den förödande Locky Ransomware virus har upptäckts av malware forskare ute i det fria att kräva summan av 3 BTC som en lösen på infekterade datorer. Viruset är i huvudsak inriktad på att kryptera filer av offrens datorer varefter lämnar dem med .osiris filändelsen. Denna variant skiljer sig från de flesta Locky varianter Ransomware främst av vissa tillägg till de metoder för distribution av viruset och filändelsen, med hjälp av en egyptisk gud i stället för enstaka asagudarna som används i de tidigare versionerna av skadliga program.

Locky .osiris File Virus - Hur fungerar det Infect

Skaparna av Locky Ransomware har fastnat på den välkända metoden för spridning av skadliga program, med hjälp av spam kampanjer för att replikera den via e-post. E-postmeddelanden som används av skaparna av Locky anses vara det främsta hotet mot användare. De e-postmeddelanden uppges innehålla följande typer av filer som orsakar infektionen:

• .xls-fil med ett slumpmässigt namn såsom _2234_214252_
• .js och WSF (JavaScript)
• .HTA, .html, .htm (leda till skadliga webbvärdar)
• .vbs (Visual Basic Script) som orsakar direkt infektion

Filerna lagras vanligtvis i arkiv som .zip eller .rar arkiv som har liknande eller samma namn som bilagor för att undvika upptäckt av e-postleverantörer säkerhet. Den senaste Locky variant använder .osiris filändelsen har rapporterats att använda en fil, heter som ”Osiris.htm” eller en ”.xls” fil med slumptal som ett namn.

När användaren klickar på filen, förvrängd åtgärder kan omedelbart ansluta till en av de många Locky distributions webbplatser:

Efter att ha ansluten till dessa webistes, malware kan hämta en förvrängd nyttolast i viktiga Windows-mappar, liknande den tidigare detekterade genom Hybrid-Analys a1.exe innehållande Locky, beläget i %temp%.

Hittills har det rapporteras vara förkonfigurerad för att kryptera filtyper som är desamma som de tidigare versionerna, som .aesir, .Skit, .zzzzz Locky varianter. Detta inkluderar kryptering oftast träffat filformat av:

• Bilder.
• videoklipp.
• virtuella enheter.
• databas~~POS=TRUNC filer~~POS=HEADCOMP.
• Filer som är förknippade med Microsoft Word.
• Microsoft Excel-filer.
• Filer som är associerade med Adobe Reader.
• Filer som har något gemensamt med de flesta virtuell enhet spelare.

När Locky .osiris infekterar dessa filer, viruset börjar ersätta koden för dessa filer med anpassade symboler som hör till en mycket stark krypteringsalgoritm, kallas AES-128. Dessa filer genererar sedan unik dekrypteringsnyckel. Efter detta pass, viruset gör en annan pass använder också mycket avancerad RSA-2048 krypteringsalgoritm med den enda syfte att generera unika RSA offentliga och privata nycklar. Viruset kan sedan antingen ansluta till C2 servrar och skicka dekrypteringsnycklar på dem eller hålla dem på den infekterade datorn för en specifik Locky Decryptor som säljs för BTC. Krypterade filer ser ut som nedanstående exempel:

Efter kryptering av denna Locky Ransomware virus har slutfört, viruset börjar att omedelbart visa ett “Läs Me” .htm-fil som har följande instruktioner:

“Alla dina filer är krypterade med RSA-2048 och AES-128 chiffer.
Mer information om RSA och AES kan hittas här:
{länkar till Wikipedia}
Dekryptering av dina filer är bara möjligt med den privata nyckeln och dekryptera program, som ligger på våra hemliga servrar. För att få din privata nyckel följa en av länkarna:
Om allt detta adresser är inte tillgängliga, Följ dessa steg:
1. Ladda ner och installera tor Browser: https://www.torproject.org/download/download-easy.html
2. Efter en lyckad installation, köra webbläsaren och vänta för initiering.
3. Skriv i adressfältet: {unik Locky URL}
4. Följ instruktionerna på webbplatsen.”

Instruktionerna på webbplatsen är standard Locky Decryptor instruktioner som används i de flesta av dess varianter - en webbsida med instruktioner om hur man köper Bitcoin och betala för en ”Locky Decryptor”:

Utöver detta filerna OSIRIS-{RAND}.htm och shtefans1.spe sätts också på den infekterade datorn bland andra filer.

Hur man tar bort Locky .osiris Virus och återställa My Files

Om du känner för att inte betala någon lösen för att cyberbrottslingar som kan eller inte kan få dina filer tillbaka, Vi rekommenderar starkt att du först ta bort Locky från datorn efter som fokuserar på att försöka återställa dina filer med hjälp av alternativa metoder. För den säkraste och bästa borttagning av Locky .osiris Ransomware experter starkt råda med en avancerad anti-malware verktyg som automatiskt tar hand om alla objekt Locky Ransomware har stört.

Vi råder dig att noga följa nedanstående åtgärder för att avlägsna Locky .osiris ordentligt:

Steg 1: Ladda ner och installera en avancerad anti-malware program:

Steg 2: Starta datorn i Säkert läge och skanna det med ett program för att ta bort Locky .osiris iteration.

Steg 3: Använda Data Recovery verktyg. Denna metod föreslås av flera experter på området. Den kan användas för att skanna din hårddisk s sektorer och därmed förvränga krypterade filer på nytt som om de togs bort. De flesta Ransomware virus bort vanligtvis en fil och skapa en krypterad kopia för att förhindra sådana program för att återställa filerna, men inte alla är detta sofistikerade. Så du kan ha en chans att återställa en del av dina filer med denna metod. Här finns flera data recovery program som du kan prova och återställa åtminstone en del av dina filer: