Ytterligare en version av den ökända Locky har släppts. Det är mest sannolikt en uppdaterad variant av .aesir filändelsen Locky, liknar vad Cerber Ransomware, den andra stora aktören i detta segment gör, komma med flera varianter i korta tidsramar. Denna variant av Locky använder en JS-fil för infektionen, men det har inte det egna kommandoservrar och istället automatiserad, forskarna tror. För att förstå hur man tar bort detta virus och lära alternativa metoder för att försöka återställa dina filer utan att behöva betala lösen, råder vi dig att läsa denna artikel noggrant.
Vad gör Locky Ransomware Do?
När det infekterar, den Locky viruset använder en annan filändelse att kryptera filer, än tidigare varianter – .zzzzz. Till skillnad från de varianter som använder namnet på asagudar, denna Locky använder 1 brev upprepas fem gånger om förlängning, som är otypisk. Inte bara detta, men e-postmeddelanden som har arkiv, nämnd ordning _{namn offer}.blixtlås används för att infektera användare med skadliga JS (JavaScript) filer i dem. Nedladdnings placeringen av dessa filer är en av de många distributionsställen som används av Locky.
Efter detta skadlig fil öppnas av användaren, den Ransomware blir ända ner till företag. Det skapar en kopia av hotbrev användning med namnet _1-INSTRUCTION.html. Den hotbrev filen ändras också som en bakgrund på offrets dator, ser ut som följande:
”!!! VIKTIG INFORMATION !!!
Alla dina filer är krypterade med RSA-2048 och AES-128 chiffer.
Mer information om RSA och AES kan hittas här:
https://en.wikipedia.org/wiki/RSA_(kryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Dekryptering av dina filer är bara möjligt med den privata nyckeln och dekryptera program, Allt som är på vår hemliga server.
För att få din privata nyckel följa en av länkarna:
1. [redigerad] 2. [redigerad] Om allt detta adresser är inte tillgängliga, Följ dessa steg:
1. Ladda ner och installera Tor Browser: https://www.torproject.org/download/download-easy.html
2. Efter en lyckad installation, köra webbläsaren och vänta för initiering.
3. Skriv i adressfältet: [redigerad] 4. Följ instruktionerna på webbplatsen.
!!! Ditt personnummer ID: [redigerad] !!!”
De INSTRUCTION.html filen har också en liknande lösen meddelande:
Båda webbplatserna syftar till att leda offret vars filer är krypterade med Locky s .zzzzz variant till den traditionella för denna familj av malware Locky Decryptor webbsida.
Vad är Locky kryptering och varför jag inte kan öppna Mina filer?
Viruset är ett av de starkaste när det gäller kryptering av användarfiler. Faktiskt, Det är förprogrammerad för att kryptera en mängd olika filändelser, mer än 400:
→ .001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1CD, .3dm, .3ds, .3fr, .3g2, .3gp, .3per, .602, .7från, .7blixtlås, .BÅGE, .CSV, .DOC, .PUNKT, .MYD, .SÅLD, .NEF, .PAQ, .PPT, .RTF, .sqlite3, .SQLITEDB, .XLS, .aac, .AB4, .ACCDB, .ACCDE, .accdr, .accdt, .men, .acr, .spela teater, .aDB, .adp, .annonser, .aes, .agdl, .till, .aiff, .tillhör, .al, .aoi, .APJ, .APK, .dag vinst, .asc, .asf, .person, .asp, .aspx, .tillgång, .asx, .avi, .AWG, .tillbaka, .säkerhetskopiering, .backupdb, .bakom, .Bank, .fladdermus, .vik, .bdb, .BGT, .bik, .bin, .PKP, .blandning, .bmp, .BPW, .brd, .bsa, .ED, .CDR, .CDR3, .CDR4, .cdr5, .cdr6, .cdrw, .CDX, .CE1, .CE2, .cer, .cfg, .cgm, .ficka, .klass, .cls, .cmd, .cmt, .config, .kontakta, .cpi, .cpp, .cr2, .KRÄVA, .crt, .CRW, .cs, .csh, .csl, .csr, .css, .csv, .d3dbsp, .Dacian, .den, .vilken, .db, .db3, .db_journal, .dBF, .dbx, .DC2, .DCH, .dcr, .dcs, .ddd, .docka, .NRW, .dds, .den, .av, .design, .DGC, .dif, .dopp, .detta, .DJV, .djvu, .DNG, .doc, .Docb, .docm, .docx, .punkt, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .DXG, .dator, .EML, .eps, .erbsql, .erf, .EXF, .fdb, .FFD, .fff, .fh, .fhd, .fla, .flac, .FLF, .flv, .flvv, .förfalska, .fpx, .frm, .FXG, .gif, .gpg, .grå, .grå, .grupper, .spel, .gz, .hbk, .hdd, .HPP, .html, .HWP, .iBank, .IBD, .FLR, .idx, .iIF, .Ilq, .incpas, .indd, .iWi, .burk, .java, .JNT, .jpe, .jpeg, .jpg, .js, .KC2, .kdbx, .KDC, .nyckel, .kpdx, .historia, .laccdb, .lägga, .lay6, .Ibf, .LDF, .belyst, .litemod, .litesql, .logga, .LTX, .ta, .m2ts, .m3u, .m4a, .M4P, .M4U, .m4v, .mapimail, .max, .MBX, .md, .mdb, .MDC, .MDF, .MEF, .MFW, .mitten, .mKV, .mlb, .MML, .MMW, .MNY, .Moneywell, .mos, .mov, .mp3, .mP4, .mpeg, .mpg, .MRW, .MS11, .msg, .värld, .n64, .nd, .ndd, .NDF, .nef, .NK2, .nop, .nrw, .ns2, .NS3, .NS4, .nsd, .NSF, .NSG, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .OAB, .obj, .ODB, .Episode, .ODF, .svar, .odm, .svara, .ods, .odt, .ogg, .olja, .onetoc2, .orf, .OST, .otg, .oth, .otp, .ots, .där, .p12, .P7B, .p7c, .hjälpa, .sidor, .inte, .klappa, .pcd, .pct, .pdb, .PDD, .pdf, .PEF, .om inrättandet, .pfx, .php, .RAKPERMANENTA, .pl, .plc, .plus_muhd, .png, .pott, .POTM, .potx, .ppam, .pps, .PPSM, .ppsx, .ppt, .pptm, .PPTX, .prf, .ps, .psafe3, .psd, .pspimage, .PST, .ptx, .PWM, .py, .qba, .QBB, .Qbm, .QBR, .qbw, .qbx, .qby, .qcow, .qcow2, .är, .R3D, .raf, .rar, .råtta, .rå, .rb, .RDB, .RE4, .rm, .rtf, .RVT, .RW2, .RWL, .RWZ, .s3db, .säker, .sas7bdat, .sav, .spara, .säga, .sch, .sd0, .sda, .sDF, .sh, .sldm, .sldx, .slk, .sQL, .sqlite, .sqlite3, .sqlitedb, .SR2, .srf, .srt, .srw, .ST4, .ST5, .st6, .ST7, .ST8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .sWF, .SXC, .SXD, .sxg, .hon, .SXM, .SXW, .tar, .tar.bz2, .Tbk, .tex, .tga, .tgz, .thm, .tif, .tIFF, .st, .Text, .allmänna, .uot, .UPK, .vb, .vbox, .vbs, .vdi, .vHD, .vhdx, .VMDK, .vmsd, .VMX, .vmxf, .VOB, .wab, .bunt, .plånbok, .wAV, .WB2, .WK1, .wks, .wma, .wmv, .wpd, .wps, .x11, .x3f, .film, .xla, .xlam, .xlc, .XLK, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .XL ™, .xltx, .xlw, .xml, .ycbcra, .yuv, .blixtlås
Filer som har krypterats kommer att ha filändelsen med repeaded ”z” brev och blir inte längre öppningsbar. Krypteringen tros som skall användas för dessa filer är AES-128 i kombination med en chiffer som är RSA-2048 och alstrar en unik avkodningsnyckel för varje infektion.
Efter detta är gjort, Locky Ransomware kan ta bort säkerhetskopior och andra filer historia med kommandot vssadmin.
Hur hamnade jag infekterad med Locky .zzzzz?
Allt som krävs för att bli smittad med Locky Ransomware s .zzzzz variant är att öppna en phishing e-post som utger sig för att vara en legitim en. Här är ett exempel på en infektion, upptäckt tidigare:
→ "Kära kund,
Hälsningar från Amazon.com
Vi skriver för att informera dig om att följande posten har skickats med hjälp av Royal Mail.
För mer information om leverans uppskattningar och alla öppna order, besök: {webblänk}
Du beställer {ordernummer}”
De e-post har en skadlig arkiv (.Zip fil) som är döpt "BESTÄLLA-{siffra}.blixtlås}”. Om användaren är oerfaren nog att ladda ner och öppna den skadliga JS-filen i arkivet som kan låtsas vara antingen en Microsoft Office eller Adobe dokument, de omedelbart blir injiceras med en JavaScript-protokoll som orsakar infektion med Locky.
Hur man tar bort Locky Ransomware och återställa krypterade filer
För att fullt ut radera viruset råder vi dig att använda en avancerad anti-malware program om du saknar erfarenhet av malware borttagning. Det kommer professionellt bort alla objekt som är associerade med Locky på datorn på ett snabbt sätt.
Att försöka återställa filer du har flera alternativa metoder som ligger framför dig:
- Data Recovery Software.
- Skuggkopior Restore (om intakt)
- Network Sniffer.
- Prova tredjeparts decryptors efter säkerhetskopiera krypterade filer. (inte prova dem på de ursprungliga kopior av krypterade filer, bara på andra kopior)
Dessa metoder kanske inte är 100% effektiva men de kan vara tillräckligt effektiv för att återställa åtminstone en del av dina filer.