“Lock” pocit docela radostný znejúcim názvom. Ale je to tiež prezývku nový kmeň ransomware, takzvaný pretože to premenuje všetky vaše dôležité súbory tak, že majú príponu .locky. Samozrejme, to neznamená len premenovať súbory, vrie to ich prvé a – ako už asi viete o ransomware-len podvodníci majú dešifrovací kľúč. Môžete si kúpiť dešifrovací kľúč z podvodníci cez takzvaný dark webe. Ceny sme videli líšia BTC 0,5 1,00 BTC (BTC je skratka pre “bitcoin”, kde jeden bitcoin je v súčasnosti stojí o $400 / £280).
Lock nainštalovaný pomocou falošných faktúr
Lock je v súčasnosti distribuovaný prostredníctvom e-mailu, ktorý obsahuje Word dokument prílohy s škodlivé makrá. E-mailová správa bude obsahovať predmet podobná Kontakt: J-98223146 faktúra a hlásenie, napríklad “Pozri priložený faktúry (dokument programu Microsoft Word) a neodviedol platby podľa podmienok uvedených v spodnej časti faktúry”. Príklad jednej z týchto e-mailov, môžete vidieť nižšie.
priložené tieto e-mailové správy budú škodlivý Word dokument, ktorý obsahuje názov podobne ako invoice_J-17105013.doc. Po otvorení dokumentu text bude zakódovaný a dokument sa zobrazí hlásenie s informáciou, že by ste mali povoliť makrá, ak je text nečitateľný.
Stiahnuť nástroj pre odstránenieodstrániť .locky files virus
Najbežnejší spôsob, ako dorazí Locky je nasledovné:
- Dostanete e-mail obsahujúci priložený dokument (Troj/DocDl-BCF).
- Dokument vyzerá hatmatilka.
- Dokument radí, aby ste makrá, “Ak kódovanie údajov je nesprávne.”
- Ak povolíte makrá, môžete skutočne Neopravovať, kódovanie textu (t.j. úskok); namiesto toho spustiť kód dokumente, ktorý uloží súbor na disk a spustí ho.
- Uložený súbor (Troj/Ransom-CGX) slúži ako downloader, ktorý presunie posledný malware užitočného zaťaženia z podvodníci.
- Konečné zaťaženie mohlo byť čokoľvek, ale v tomto prípade je zvyčajne Lock Ransomware (Troj/Ransom-CGW).
Lock perie všetky súbory, ktoré zodpovedajú dlhý zoznam rozšírení, vrátane videa, obrázky, zdrojový kód a súborov balíka Office. Lock aj perie wallet.dat, Bitcoin peňaženku súbor, ak máte jeden. Inými slovami, ak máte viac BTCs v peňaženke, než náklady na výkupné a bez zálohy, ste veľmi pravdepodobné, že splatiť. (A už budete vedieť, ako si kúpiť nové bitcoins a ako platiť s nimi.) Lock tiež odstráni všetky súbory zväzok snímka Service (VSS), tiež známy ako tieňové kópie, ktoré ste vykonali. Tieňové kópie nie sú Windows spôsob tvorby živého zálohovanie fotografií bez toho, aby museli prestať pracovať-nemáte musíte odhlásiť, alebo dokonca zatvoriť aplikácie prvý-takže sú rýchle a populárne alternatívou k správne zálohovanie postup.
Raz Lock je pripravený zasiahnuť vás na výkupné, to je istý, že uvidíte hlásenie zmeniť tapetu na plochu počítača:
Ak navštívite temné stránky uvedené v upozornenie, potom dostanete pokyny na zaplatenie, ktoré ukázali sme vyššie. Bohužiaľ, tak môžeme povedať, neexistujú žiadne jednoduché skratky dostať vaše dáta späť, ak nemáte aktuálnu zálohu. Pamätajte tiež, že ako väčšina ransomware Locky nie len zakódovanie C: disk. To perie všetkých súborov v každom adresári na akékoľvek pripojenú jednotku, že prístup, vrátane vymeniteľných jednotiek, ktoré sú zapojené v čase alebo sieťového akcií, ktoré sú prístupné, vrátane serverov a iných počítačov, či sú spustené Windows, OS X alebo Linux. Ak ste prihlásený ako správca domény a dostanete hit ransomware, mohol urobiť naozaj veľmi rozsiahle škody. Dávať si dopredu všetky prihlasovacie moc niekedy potrebujete je veľmi výhodné, ale prosím, nerobte to.
Lock vaše údaje zakóduje a úplne mení názvy súborov
Pri spustení Locky vytvorí a priradiť jedinečné 16 šestnástkové číslo obete a bude vyzerať ako F67091F1D24A922B. Lock bude potom skontrolovať všetky lokálne disky a nepriradené sieť akcií pre dátové súbory na šifrovanie. Pri šifrovaní súborov bude používať šifrovací algoritmus AES a šifrujú len súbory, ktoré sa zhodujú s týmito príponami:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Okrem toho Locky vynechá súbory kde plná cesta a názov súboru obsahuje jeden z nasledujúcich reťazcov:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
Keď Locky šifruje súbor premenuje súbor na formát [unique_id] [identifikátor] .locky. Tak pri test.jpg je šifrovaná to by premenovať na niečo ako F67091F1D24A922B1A7FC27E19A9D9BC.locky. Jedinečný identifikátor a ďalšie informácie budú vložené do konca šifrovaný súbor.
Je dôležité zdôrazniť, že Locky budú zašifrované súbory v zdieľaných sieťových priečinkoch, aj keď nie sú priradené k lokálnej jednotke. Ako predpovedal, to sa stáva viac a viac obyčajný a všetci správcovia systému mali uzamknúť všetky otvorené siete zdieľané na najnižšiu oprávnenie možné.
Ako súčasť procesu šifrovania, Locky sa odstránia aj všetky tieňové kópie zväzku počítača tak, že nemôže byť použitý na obnovenie súborov obete. Lock to spustením nasledujúceho príkazu:
vssadmin.exe Delete Shadows /All /Quiet
Na pracovnej ploche Windows a v každom priečinku kde súbor bol zašifrovaný Locky vytvorí výkupné poznámky, ktoré sa nazýva _Locky_recover_instructions.txt. Tento výkupné obsahuje informácie o tom, čo sa stalo obeťou súbory a odkazy na stránky decrypter.
ČO MÁM ROBIŤ?
- Pravidelne zálohovať a udržať nedávne záložnej kópie off-site. Existujú desiatky spôsobov ako ransomware, ktoré súbory môžu náhle zmizne, ako napríklad požiaru, záplav, krádeže, notebook spadol či dokonca náhodného vymazanie. Šifrovanie zálohovanie a nebudete musieť starať o zálohovanie zariadení spadajúcich do nesprávnych rúk.
- Nechcete povoliť makrá v dokumente príloh prijatých mailom. Microsoft zámerne auto-spustenie makier v predvolenom nastavení vypnutá mnohými rokmi ako bezpečnostné opatrenie. Spousta malware infekcií spoliehať na presviedčanie môžete zapnúť makrá, tak nerobte to!
- Byť opatrní nevyžiadaných príloh. Podvodníci sa opierajú o dilemu, ktoré nemali otvoriť dokument, kým ste si istí, je ten, ktorý chcete, ale nemôžem povedať, ak je ten, ktorý chcete, kým ju otvorte. Ak ste na pochybách, nech sa na to.
- Nedávajú sami viac prihlásenie energie, než potrebujete. A čo je najdôležitejšie, nemajú zostať prihlásený ako správca, dlhšie, než je nevyhnutne potrebné, a vyhnúť sa prezerá, otváranie dokumentov alebo iných činností “Bežná práca”, keď máte práva správcu.
- Zvážiť inštaláciu Microsoft Office divákov. Tieto aplikácie Zobrazovač umožní vidieť, čo vyzeralo ako dokumentov bez ich otvorením v programe Word alebo Excel, sám. Najmä softvér nepodporuje makrá, takže nemôžete omylom zapnúť makrá!
- Patch skoro, často patch. Malware, že nemá prísť cez makrá dokumentu často spolieha na bezpečnostné chyby v populárnych aplikácií vrátane balíka Office, váš prehliadač, Flash a ďalšie. Skôr ste patch, menej otvorené otvory zostane podvodníci využiť.
Stiahnuť nástroj pre odstránenieodstrániť .locky files virus
* SpyHunter skener, uverejnené na tejto stránke, je určená na použitie iba ako nástroj na zisťovanie. viac info na SpyHunter. Ak chcete použiť funkciu odstránenie, budete musieť zakúpiť plnú verziu produktu SpyHunter. Ak chcete odinštalovať SpyHunter, kliknite sem.
