„Locky“ cítí jako docela veselé znějící jméno. Ale to je také Přezdívka nový kmen ransomware, takzvaný protože přejmenuje všechny vaše důležité soubory tak, že mají příponu .locky. Samozřejmě to není jen přejmenovat soubory, to vře, je první a – jak asi víte, o ransomware – jen podvodníci mají dešifrovací klíč. Můžete si koupit dešifrovací klíč od podvodníků prostřednictvím takzvané temné web. Ceny jsme viděli se liší od BTC 0,5 na BTC 1,00 (BTC je zkratka pro „bitcoin“, kde jeden bitcoin je v současné době stojí o $400/280 libry).
Locky nainstalován pomocí falešné faktury
Locky není v současné době distribuován prostřednictvím e-mailu, který obsahuje přílohy dokumentu aplikace Word s makry, škodlivý. E-mailová zpráva bude obsahovat podobné téma ATTN: faktura J-98223146 a jako „Naleznete přiložené faktury (dokument Microsoft Word) a neodvedl platby podle podmínek uvedených na spodní části faktury“. Příklad jednoho z těchto e-mailů lze vidět níže.
připojit tyto e-mailové zprávy bude škodlivý dokument aplikace Word, který obsahuje jméno podobné invoice_J-17105013.doc. Při otevření dokumentu, text bude míchaná a dokumentu se zobrazí zpráva, že byste měli povolit makra, pokud je text nečitelný.
Stáhnout nástroj pro odstraněníChcete-li odebrat .locky files virus
Nejběžnějším způsobem přenášená Locky je následující:
- Obdržíte e-mail s připojeným dokumentem (Troj/DocDl-BCF).
- Dokument vypadá jako hatmatilka.
- Dokument doporučuje povolit makra, „je-li kódování dat je nesprávná.“
- Pokud povolíte makra, neopravíte ve skutečnosti kódování textu (to je úskok); místo toho spustíte kód uvnitř dokumentu, který uloží soubor na disk a spustí jej.
- Uložený soubor (Troji/výkupné-CGX) slouží jako downloader, který načte datová část konečné malware z banditů.
- Poslední datová část může být cokoliv, ale v tomto případě je obvykle Locky Ransomware (Troji/výkupné-CGW).
Locky Pere všechny soubory odpovídající dlouhý seznam rozšíření, včetně videí, obrázků, zdrojový kód a soubory sady Office. Locky i pere wallet.dat, Bitcoin úschovny, pokud máte jeden. Jinými slovy Pokud máte více BTC v peněžence než náklady na výkupné a žádná záloha, jste velmi pravděpodobně zaplatit. (A to už víte, jak nakupovat nové bitcoins a jak platit s nimi.) Locky odebere také všechny soubory snímek služba svazku (VSS), známý také jako stínové kopie, které jste provedli. Stínové kopie jsou Windows způsob tvorby živých záložních snímků aniž by museli přestat pracovat-není potřeba se odhlásit nebo dokonce zavřít aplikace nejprve – tak jsou rychlé a populární alternativou k řádného postupu zálohování.
Kdysi Locky je připravena zasáhnout vás za výkupné, zajišťuje, uvidíte následující zprávu tím, že změníte tapetu pracovní plochy:
, pokud navštívíte temné webové stránky v okně s upozorněním, pak obdržíte pokyny pro platbu, kterou jsme ukázali výše. Bohužel Pokud tak můžeme říci, neexistují snadné zkratky získat vaše data zpět, pokud nemáte aktuální záložní. Pamatujte si také, že jako většina ransomware Locky není jen promíchání jednotce C:. To Pere veškeré soubory v každém adresáři na připojené jednotce, může přístup, včetně vyměnitelných jednotek, které jsou připojeny v době, nebo síťové sdílené položky, které jsou k dispozici, včetně serverů a počítačů jiných lidí, zda jsou spuštěny Windows, OS X nebo Linux. Pokud jste přihlášeni jako správce domény a dostanete hit ransomware, mohl udělat skutečně velice rozsáhlé škody. Dávat si předem všem moc přihlášení budete někdy potřebovat je velice pohodlné, ale prosím, nedělej to.
Locky zašifruje data a zcela změní názvy souborů
Když začal Locky vytvoří a přiřadit jedinečné 16 hexadecimální čísla poškozenému a bude vypadat jako F67091F1D24A922B. Locky bude potom prohledejte všechny místní jednotky a nenamapované síťových sdílených položek pro datové soubory zašifrovat. Při šifrování souborů bude pomocí algoritmu AES šifrování a zašifrovat pouze ty soubory, které odpovídají následující rozšíření:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Kromě toho Locky přeskočí všechny soubory, kde úplná cesta a název souboru obsahuje jeden z následujících řetězců:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
Když Locky zašifruje soubor přejmenuje soubor do formátu [unique_id], [identifikátor] .locky. Takže když test.jpg je šifrován by přejmenovat na něco jako F67091F1D24A922B1A7FC27E19A9D9BC.locky. Jedinečné ID a další informace budou rovněž vloženy do konce zašifrovaného souboru.
Je důležité zdůraznit, že Locky bude šifrovat soubory v síťových sdílených položkách, i když nejsou namapovány na místní jednotce. Jak předpovídal to se stává čím dál častější a všechny správci systému by měl zamknout všechny otevřené síti sdílené na co možná nejnižší oprávnění.
Jako součást procesu šifrování Locky odstraníte také všechny stínových kopií svazků v počítači tak, že nelze použít k obnovení souborů oběti. Locky to tím, že následující příkaz:
vssadmin.exe Delete Shadows /All /Quiet
V pracovní ploše Windows a v každé složce, kde byl šifrovaný soubor vytvoří Locky výkupné poznámkami nazvanou _Locky_recover_instructions.txt. Tento výkupné obsahuje informace o tom, co se stalo s soubory a odkazy na stránce decrypter oběti.
CO MÁM DĚLAT?
- Zálohování pravidelně a si poslední záložní kopii off-site. Existují desítky způsobů, jak ransomware, že soubory mohou náhle zmizí, požáru, povodně, krádeže, zahozené laptop nebo i náhodnému odstranění. Šifrovat zálohu a nebudete muset starat o zálohovací zařízení spadajících do nesprávných rukou.
- Makra v dokumentu přílohy přijaté prostřednictvím e-mailu nepovolovali. Microsoft záměrně auto spuštění maker ve výchozím nastavení vypnuta před mnoha lety jako bezpečnostní opatření. Spousta malware infekce se spolehnout na přesvědčit k makra opět zapnout, tak nedělej to!
- Buďte před nevyžádaným přílohám. Gaunery se spoléhat na dilema, které neměly otevřít dokument, dokud si nejste jisti, kterou chcete, ale nepoznáte, když je to jeden, který chcete, dokud jej nespustíte. V případě pochybností, nechte ji.
- Nedávejte víc přihlášení síly, než potřebujete. A co je nejdůležitější nechci zůstat přihlášen jako správce déle, než je nezbytně nutné a vyhnout se pro procházení dokumentů nebo jiných aktivit „běžná práce“ Zatímco máte práva správce.
- Zvažte instalaci Microsoft Office diváky. Tyto aplikace Prohlížeč vám umožní vidět jak dokumenty vypadat bez jejich otevření v aplikaci Word nebo Excel, samotné. Zejména prohlížeč software nepodporuje makra vůbec, takže nebude možné povolit makra omylem!
- Patch brzy, často je oprava. Malware, který nepřijde prostřednictvím dokumentu makra často spoléhá na bezpečnostní chyby v běžných aplikacích, včetně sady Office, prohlížeč, Flash a dalších. Dříve jste patch, méně otevřené otvory zůstaly pro podvodníci zneužít.
Stáhnout nástroj pro odstraněníChcete-li odebrat .locky files virus
* SpyHunter skeneru, zveřejněné na této stránce, je určena k použití pouze jako nástroj pro rozpoznávání. Další informace o SpyHunter. Chcete-li použít funkci odstranění, budete muset zakoupit plnou verzi SpyHunter. Pokud budete chtít odinstalovat SpyHunter, klikněte zde.
