“Locky” รู้สึกเหมือนเป็นชื่อเสียงร่าเริง แต่ยังเป็นชื่อเล่นของสายพันธุ์ใหม่ของ ransomware เรียกว่า เพราะมันเปลี่ยนชื่อแฟ้มสำคัญทั้งหมดเพื่อที่จะมีนามสกุล.locky แน่นอน มันไม่เพียงเปลี่ยนชื่อไฟล์ มัน scrambles ครั้งแรก และ – คุณอาจจะรู้เกี่ยวกับ ransomware – เท่าโจรมีคีย์ถอดรหัส คุณสามารถซื้อคีย์การถอดรหัสจากโจรผ่านสิ่งที่เรียกว่าเว็บมืด ราคาเราเห็นแตกต่างจาก BTC 0.5 ถึง BTC 1.00 (BTC ไม่สั้นสำหรับ “bitcoin ,” bitcoin หนึ่งปัจจุบันมูลค่าเกี่ยวกับ $400/ปอนด์ 280)
ติดตั้งผ่านทางใบแจ้งหนี้ปลอม Locky
ขณะนี้กำลังกระจาย Locky ผ่านอีเมลที่ประกอบด้วยสิ่งที่แนบเอกสาร Word แมโครที่เป็นอันตราย ข้อความอีเมล์จะประกอบด้วยวัตถุคล้ายคลึงกับถึง: ใบแจ้งหนี้ J-98223146และข้อความเช่น “โปรดดูอินวอยซ์ที่แนบ (เอกสาร Microsoft Word) และส่งการชำระเงินตามเงื่อนไขที่ระบุไว้ที่ด้านล่างของใบแจ้งหนี้” ตัวอย่างหนึ่งของอีเมลเหล่านี้ได้ด้านล่าง
แนบอีเมล์เหล่านี้ข้อความจะเป็นเอกสาร Word ที่เป็นอันตรายที่ประกอบด้วยชื่อคล้ายคลึงกับinvoice_J-17105013.doc เมื่อเอกสารถูกเปิด จะแปลงข้อความ และเอกสารจะแสดงข้อความระบุว่า คุณควรเปิดใช้งานแมโครถ้าข้อความไม่สามารถอ่าน
วิธีธรรมดาที่สุดที่มาถึง Locky มีดังต่อไปนี้:
- คุณได้รับอีเมล์ที่ประกอบด้วยเอกสารที่แนบ (Troj/DocDl-BCF)
- เอกสารเหมือน gobbledegook
- เอกสารแนะนำให้คุณเปิดใช้งานแมโคร “ถ้าการเข้ารหัสข้อมูลไม่ถูกต้อง”
- ถ้าคุณเปิดใช้งานแมโคร คุณไม่ได้แก้ไขข้อความเข้ารหัส (ที่เป็นอุบาย); แทน คุณเรียกใช้รหัสภายในเอกสารที่บันทึกแฟ้มไปยังดิสก์ และเรียกใช้มัน
- แฟ้มบันทึก (Troj/ไถ่-CGX) ทำหน้าที่เป็นดาวน์โหลด ซึ่งรับน้ำหนักบรรทุกมัลแวร์สุดท้ายจากการโจร ดาวน์โหลดเครื่องมือการเอาออกเอา .locky files virus
- ส่วนสุดท้ายไม่ว่าจะเป็น แต่ในกรณีนี้ คือปกติ Ransomware Locky (Troj/ไถ่-CGW)
Locky scrambles ที่ทั้งหมดแฟ้มที่ตรงกับรายการของส่วนขยาย วิดีโอ ภาพ รหัสแหล่งที่มา และแฟ้ม Office แม้ scrambles locky wallet.dat, Bitcoin กระเป๋าสตางค์ไฟล์ ถ้ามี ในคำอื่น ๆ ถ้าคุณมีมากกว่า BTCs ในกระเป๋าสตางค์ของคุณของการไถ่ และการสำรองข้อมูลไม่ คุณจะมีการจ่ายค่า (และคุณจะรู้ว่าวิธีซื้อทคอยน์ใหม่ และวิธีการจ่ายได้) Locky เอาแฟ้มบริการ Snapshot ของไดรฟ์ข้อมูล (VSS) เรียกว่าเป็นสำเนาที่คุณอาจทำ สำเนาเงาจะวิธี Windows ทำสำรองข้อมูลภาพสดโดยไม่ต้องหยุดการทำงาน-คุณไม่จำเป็นต้องออกจากระบบ หรือแม้ปิดโปรแกรมประยุกต์ของคุณคือเพื่อให้พวกเขามีทางเลือกรวดเร็ว และเป็นที่นิยมกับกระบวนการสำรองข้อมูลที่เหมาะสม
Locky ครั้งเดียวให้คุณสำหรับการไถ่ ทำให้แน่ใจว่า คุณเห็นข้อความต่อไปนี้ โดยการเปลี่ยนพื้นหลังเดสก์ท็อปของคุณ:
ถ้าคุณไปที่หน้าเว็บมืดในข้อความเตือน แล้วคุณได้รับคำแนะนำสำหรับการชำระเงินที่เราได้แสดงข้างต้น อับ เท่าที่เราสามารถบอกได้ ที่มีทางลัดที่ไม่ง่ายในการรับข้อมูลของคุณกลับมาถ้าคุณไม่มีสำเนาสำรองล่าสุด จำ ยัง ที่ เช่น ransomware สุด Locky ไม่เพียงช่วงชิง c:ไดรฟ์ มัน scrambles แฟ้มใด ๆ ในไดเรกทอรีใด ๆ บนไดรฟ์ติดตั้งที่สามารถ เข้า รวมถึงไดรฟ์แบบถอดได้ที่เสียบในเวลา หรือเครือข่ายใช้ร่วมกันที่จะสามารถเข้าถึง รวมถึงเซิร์ฟเวอร์และคอมพิวเตอร์ของคนอื่น ว่าพวกเขากำลังเรียกใช้ Windows, OS X และ Linux ถ้าคุณล็อกอินเป็นผู้ดูแลระบบโดเมน และคุณได้รับการตี โดย ransomware คุณสามารถทำความเสียหายอย่างกว้างขวางมากจริง ๆ ให้ตัวเองหน้าพลังเข้าสู่ระบบทั้งหมดคุณอาจจำเป็นต้องมีสะดวกมาก แต่โปรดอย่าทำมัน
Locky เข้ารหัสข้อมูลของคุณ และเปลี่ยนชื่อแฟ้มสมบูรณ์
เมื่อเริ่มต้น Locky จะสร้าง และกำหนดฐานสิบหก 16 เฉพาะหมายเลขเป็นเหยื่อ และจะมีลักษณะเช่น F67091F1D24A922B จะ locky แล้วสแกนไดรฟ์และแชร์เครือข่ายที่ไม่ได้แม็ปแฟ้มข้อมูลการเข้ารหัสลับทั้งหมด เมื่อแฟ้มเข้ารหัสลับ จะใช้อัลกอริทึมการเข้ารหัส AES และเท่านั้น เข้ารหัสลับแฟ้มที่ตรงกับส่วนขยายต่อไปนี้:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
นอกจากนี้ Locky จะข้ามแฟ้มที่ชื่อเส้นทางแบบเต็มและชื่อแฟ้มประกอบด้วยสายอักขระต่อไปนี้อย่างใดอย่างหนึ่ง:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
เมื่อ Locky เข้ารหัสแฟ้ม มันจะเปลี่ยนชื่อแฟ้มเพื่อรูปแบบ.locky [unique_id] [รหัส] ดังนั้น เมื่อมีการเข้ารหัส test.jpg ก็จะถูกเปลี่ยนชื่ออย่างเช่น F67091F1D24A922B1A7FC27E19A9D9BC.locky ID เฉพาะและข้อมูลอื่น ๆ ยังจะฝังลงในส่วนท้ายของแฟ้ม
มันเป็นสิ่งสำคัญความเครียดว่า Locky จะเข้ารหัสลับแฟ้มบนเครือข่ายใช้ร่วมกันแม้ว่าพวกเขาไม่ได้ถูกแมปไปยังไดรฟ์ภายใน เป็นที่คาดการณ์ นี้เป็นทั่วไปมาก และทั้งหมดผู้ดูแลระบบควรล็อคเครือข่ายทั้งหมดที่เปิดแชร์สิทธิ์ต่ำสุดที่เป็นไปได้
เป็นส่วนหนึ่งของกระบวนการ Locky จะลบทั้งหมดของไดรฟ์ข้อมูลสำเนาในเครื่องเพื่อให้ไม่สามารถใช้การคืนค่าแฟ้มของเหยื่อด้วย Locky ไม่นี้ โดยการดำเนินการคำสั่งต่อไปนี้:
vssadmin.exe Delete Shadows /All /Quiet
ในเดสก์ท็อปของ Windows และ ในแต่ละโฟลเดอร์ที่แฟ้มถูกเข้ารหัสลับ Locky จะสร้างบันทึกค่าไถ่ที่เรียกว่า_Locky_recover_instructions.txt หมายเหตุค่าไถ่นี้ประกอบด้วยข้อมูลเกี่ยวกับสิ่งที่เกิดขึ้นกับแฟ้มและการเชื่อมโยงไปยังหน้า decrypter ของเหยื่อ
ทำอะไร
- สำรองข้อมูลอย่างสม่ำเสมอ และเก็บสำเนาสำรองล่าสุดนอก มีรูปแบบอื่นที่ไม่ใช่ ransomware ที่แฟ้มสามารถก็หายไป เช่นไฟไหม้ น้ำท่วม ขโมย แล็ปท็อปกระตุก หรือแม้แต่การลบโดยไม่ตั้งใจ เข้ารหัสข้อมูลสำรองของคุณ และคุณจะไม่ต้องกังวลว่าอุปกรณ์สำรองข้อมูลที่อยู่ในมือผิด
- ไม่เปิดใช้งานแมโครในเอกสารแนบได้รับผ่านทางอีเมล์นี้ Microsoft ตั้งใจปิดอัตโนมัติการดำเนินการของแมโคร โดยค่าเริ่มต้นเป็นมาตรการรักษาความปลอดภัยมา จำนวนมากของมัลแวร์ที่ติดเชื้อพึ่งคุณเปิดแมโคร โรงแรมดังนั้นอย่าทำมัน
- ระมัดระวังเกี่ยวกับสิ่งที่แนบมาไม่ โจรจะอาศัยการคายที่คุณไม่ควรเปิดเอกสารจนกว่าคุณจะแน่ใจว่า เป็นคุณต้อง แต่คุณไม่บอกถ้า เป็นคุณต้องจนกว่าคุณเปิด หาก มีข้อสงสัย ปล่อยออก
- ไม่ให้พลังงานเข้าสู่ระบบมากขึ้นกว่าที่คุณต้องการ สำคัญ ไม่เข้าสู่ระบบในฐานะผู้ดูแลอีกต่อไปกว่าจำเป็น และหลีกเลี่ยงการเรียกดู เปิดเอกสารหรือกิจกรรมอื่น ๆ “งานประจำ” ในขณะที่คุณมีสิทธิ์ของผู้ดูแลระบบ
- พิจารณาติดตั้งแสดง Microsoft Office. โปรแกรมประยุกต์เหล่านี้แสดงให้คุณดูเอกสารลักษณะโดยไม่ต้องเปิดใน Word หรือ Excel เอง โดยเฉพาะอย่างยิ่ง ซอฟต์แวร์ viewer ไม่สนับสนุนแมโครทั้งหมด ดังนั้นคุณไม่สามารถเปิดใช้แมโครโดยไม่ได้ตั้งใจ
- ก่อนโปรแกรมแก้ไข โปรแกรมแก้ไขมัก มัลแวร์ที่ไม่มาในทางเอกสารแมมักอาศัยอยู่กับบักความปลอดภัยในการใช้งานยอดนิยม Office เบราว์เซอร์ แฟลชและ เร็วคุณแก้ไข มีรูเปิดน้อยลงคงเหลือโจรทำลาย
ดาวน์โหลดเครื่องมือการเอาออกเอา .locky files virus
* SpyHunter สแกนเนอร์ เผยแพร่บนเว็บไซต์นี้ มีวัตถุประสงค์เพื่อใช้เป็นเครื่องมือการตรวจสอบเท่านั้น ข้อมูลเพิ่มเติมบน SpyHunter การใช้ฟังก์ชันลบ คุณจะต้องซื้อเวอร์ชันเต็มของ SpyHunter หากคุณต้องการถอนการติดตั้ง SpyHunter คลิกที่นี่
