”Locky” tuntuu varsin pirteä kuulostava nimi. Mutta se on myös uusi kanta ransomware, niin kutsuttu, koska se nimeää kaikki tärkeät tiedostosi, jotta niillä olisi laajennus .lockyNimimerkki. Tietenkin se ei vain nimetä tiedostoja, se sekoittaa niitä ensin ja – luultavasti tietää ransomware-vain roistoja on salausavainta. Voit ostaa salausavainta kautta ns tumma webroistoja. Olemme nähneet hinnat vaihtelevat BTC 0,5 BTC 1,00 (BTC on lyhenne sanoista ”bitcoin,” Jos yksi bitcoin arvo on tällä hetkellä noin 400 dollaria / £280).
Locky asennettu kautta väärennettyjä laskuja
Locky on tällä hetkellä jaettu sähköpostitse, joka sisältää Word document liitteet haitallisia makroja. Sähköpostiviesti sisältää samanlainen aihe Huom: laskun J-98223146 ja viestin kuten ”Katso tähän liittyvä laskutusprojekti (Microsoft Wordin asiakirja) ja laskutusehtojen luetellut alareunassa laskun ehtojen mukaisesti”.  Esimerkiksi yksi näitä sähköposteja nähtävissä alla.
liitetty nämä email viestit on Word-asiakirjan, joka sisältää nimi muistuttaa invoice_J 17105013.doc. Kun asiakirja avataan, teksti salattu ja asiakirja näkyy sanoma, pitäisi ottaa makrot käyttöön, jos teksti on lukukelvoton.
Imuroi poistotyökalupoistaa .locky files virus
Yleisin tapa, että Locky saapuu on seuraava:
- Saat sähköpostiviestin, joka sisältää liiteasiakirjaan (Troj/DocDl-BCF).
- Asiakirja näyttää kapulakieltä.
- Asiakirjan neuvoo makrot ”Jos tiedot koodaus on virheellinen.”
- Jos otat makrot, ellet todella korjaa tekstin koodausta (eli tekosyy); sen sijaan voit käyttää koodin sisällä asiakirja, joka tallentaa tiedosto levylle ja suorittaa sen.
- Tallennettu tiedosto (Troj/Ransom-CGX) toimii downloader, joka hakee lopullinen malware hyötykuorma roistoja.
- Lopulliset tiedot voi olla mitä tahansa, mutta tässä tapauksessa on yleensä Locky Ransomware (Troj/Ransom-CGW).
Locky scrambles kaikki tiedostot vastaavat useita laajennuksia, kuten videoita, kuvia, lähdekoodi ja Office-tiedostoja. Locky jopa scrambles wallet.dat, Bitcoin lompakko tiedostossasi, jos sellainen on. Toisin sanoen, jos sinulla on enemmän BTCs lompakon kuin kustannukset ransom ja ei taaksepäin, olet todennäköisesti maksamaan. (Ja tiedät jo ostaa uusia bitcoins ja maksaa ne.) Locky poistaa myös Avaruus Tuokiokuva Asepalvelus (VSS) tiedostoja, tunnetaan myös nimellä varjostaa pärjäävä, jotka olet tehnyt. Tilannevedoksia Windows tapa tehdä varmuuskopio tapahtumanne ei tarvitse lakata toimimasta-et tarvitse kirjautua ulos tai jopa sovellusten sulkeminen ensimmäinen-joten ne ovat nopea ja suosittu vaihtoehto oikea varmuuskopiointiin menettelyä.
Kun Locky on valmis lyödä varten ransom, se varmistaa, näet seuraavan viestin muuttamalla työpöydän taustakuvaksi:
jos käyt tumma web-sivun, koska varoitusviesti, saat ohjeet maksamiseen, että meillä oli edellä. Valitettavasti siltä osin kuin voimme kertoa, oikoteitä ei ole helppoa saada tiedot takaisin, jos sinulla ei ole viime taaksepäin. Muista myös, että kuten useimmat ransomware Locky ei vain sekoittaa sinun C: ajaa. Se scrambles kaikki tiedostot hakemistoon liitetyn aseman, että se voi käyttää myös siirrettävät levyasemat, jotka on kytketty aikaan tai verkkoresurssit, jotka ovat saatavilla, mukaan lukien palvelimet ja muissa tietokoneissa ne ovat käytössä Windows, OS X tai Linux. Jos olet kirjautunut sisään toimialueen järjestelmänvalvojana ja kärsiä ransomware, voit tehdä hyvin laajoja vahinkoja todellakin. Antaa itsellesi edessä kirjautuminen teholla ehkä koskaan on erittäin kätevää, mutta älä tee sitä.
Locky salaa tiedot ja mullistaa tiedostonimet
Kun Locky käynnistetään se luo ja antaa ainutlaatuisen 16 heksadesimaali numero uhrille ja näyttää kuin F67091F1D24A922B. Locky tulee sitten skannata kaikki paikalliset asemat ja yhdistämättömät verkkoresurssien tiedostot salataan. Kun salaus tiedostoja se käyttää AES-salausalgoritmin ja salata vain ne tiedostot, jotka vastaavat seuraavia laajennuksia:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Lisäksi Locky ohittaa tiedostoja, kun koko polun ja tiedoston nimet sisällä yksi seuraavista merkkijonoista:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
Kun Locky salaa tiedosto se nimeää tiedoston muodossa yksilöllinen [tunnus] [tunnus] .locky.  Niin kun se on salattu se nimi jotain F67091F1D24A922B1A7FC27E19A9D9BC.locky.  Yksilöllisen tunnuksen ja muut tiedot myös upottaa salatun tiedoston loppuun.
On tärkeää korostaa, että Locky salaa jaettujen verkkoresurssien tiedostot saattavat myös silloin, kun ne ei ole määritetty paikallisessa asemassa. Kuten ennustettiin tämä tulee yhä yleisempää ja kaikki järjestelmänvalvojat pitäisi lukita kaikki avoimen verkon jaettu alhaisin käyttöoikeuksia mahdollista.
Osana salaus Locky myös poistaa kaikki aseman tilannevedosten koneeseen niin, että niitä ei voida käyttää uhrin tiedostojen palauttaminen. Locky tämä suorittamalla seuraava komento:
vssadmin.exe Delete Shadows /All /Quiet
Windows-työpöydän ja kunkin kansion, jossa tiedosto on salattu Locky luo ransom toteaa kutsutaan _Locky_recover_instructions.txt. Lunnaita merkille sisältää tietoa mitä tapahtui uhrin tiedostojen ja linkkien decrypter-sivulle.
MITÄ TEHDÄ?
- Varmuuskopioida säännöllisesti ja varmuuskopioi hotelliin off-site. On olemassa kymmeniä tapoja kuin ransomware, että tiedostoja voi yhtäkkiä katoavan, kuten tulipalo, tulva, Varkaus, pois kannettavan tietokoneen tai jopa vahingossa poistaa. Salaa varmuuskopio ja sinun ei tarvitse murehtia varmuuskopio laitteen joutuminen vääriin käsiin.
- Älä Ota makrot saivat kautta email liitetiedostoja. Microsoft tarkoituksella oletusarvoisesti pois käytöstä auto täytäntöönpanematta makrot monta vuotta sitten koska arvopaperi mitata. Arpa-lta malware infektiot luottaa houkuttelemalla, voit ottaa makrot uudelleen käyttöön joten älä tee sitä!
- Olla varovainen ei-toivottujen liitetiedostojen. Roistoja ovat riippuvaisia ongelmaan, että sinun ei pitäisi avata asiakirja, kunnes olet varma, se on sinulle, mutta et voi kertoa, jos se on yksi haluat, kunnes avaat sen. Jos esiintyy epäilyjä, jätä se pois.
- Älä anna itsellesi enemmän johdonmukaisuus valtaa kuin tarvitset. Tärkeintä on eivät pysy kirjautuneena järjestelmänvalvojana yhtään pidemmäksi aikaa kuin on ehdottomasti tarpeen, ja välttää selauksen, sivuston avaamisen asiakirjoja tai muuta ”normaali työ” toimintaa kun sinulla on järjestelmänvalvojan oikeudet.
- Harkita asentamista Microsoft Office katsojat. Nämä katseluohjelmat voit tarkastella asiakirjat avaamatta niitä Wordin tai Excelin, itse. Erityisesti katselija pehmo ei tue makroja ollenkaan, joten voit ottaa makrot käyttöön vahingossa!
- Patch aikaisin, patch usein. Haittaohjelma, joka ei tule via asiakirjan makrot usein vetoaa turvallisuus bugs suosittuja sovelluksia, kuten Office, selain ja Flash. Pikemmin te kauneuspilkku, vähemmän auki aukkoja on edelleen hyödyntää roistoja.
Imuroi poistotyökalupoistaa .locky files virus
* SpyHunter skanneri, tällä sivustolla on tarkoitettu käytettäväksi vain detection Tool-työkalun. Lisätietoja SpyHunter. Poisto-toiminnon käyttämiseksi sinun ostaa täyden version SpyHunter. Jos haluat poistaa SpyHunter, klikkaa tästä.
