Интернет безопасность по-русски
  • twitter
  • flickr
  • facebook
  • vimeo
  • Главная
  • Новости
  • Удаление вирусов
  • Спам

Вирус win32 locky: как расшифровать .locky файлы

.locky – это расширение файла зашифрованного вымогательским ПО, которое создано для того чтобы получить с доверчивых пользователей немалую выгоду. В этой статье мы рассмотрим методы удаления шифровальщика Locky и способы расшифровки Ваших файлов

За последние периоды отмечена демонстративная широкомасштабная атака нового штамма вымогательского ПО. Большинство пострадавших на данный момент находится в Германии, но ареал распространения увеличивается с ошеломляющей скоростью и уже есть сотни подтвержденных инфицированных ПК в СНГ. В настоящий момент неизвестно, какая группировка кибер-преступников ведет аферу. Тем не менее, характер работы троянца соответствует самой позорной практике цифрового вымогательства. Фактически, происходит шифрование личных файлов жертвы, при этом их имена превращаются в бессмысленный набор из 32 цифр и знаков с расширением .locky в конце последовательности. Атакованная операционная система идентифицирует эти объекты как файлы LOCKY, которые невозможно открыть независимо от того, какую программу выберет пользователь.

Вместо исходных файлов в каждой папке появляются странно выглядящие объекты .locky.

Вместо исходных файлов в каждой папке появляются странно выглядящие объекты .locky.

Для агрессии также характерны, помимо обезображивания файлов, ряд прочих отличительных признаков. Программа-вымогатель меняет обои рабочего стола на предупреждающее сообщение, текст повторяется в файле _Locky_recover_instructions.txt. Существует множество копий, поскольку упомянутый выше документ TXT находится в каждой отдельно взятой папке, содержащей бывшие когда-то читабельными заблокированные файлы. По существу, имеем дело с инструкциями по уплате выкупа, которые поясняют ситуацию с файлами, предоставляя алгоритм их восстановления.

В частности, сообщение гласит:
“!!! Важная информация !!!! Файлы зашифрованы цифровыми ключами RSA-2048 и AES-128. Расшифровать файлы можно исключительно с помощью закрытого ключа и программы расшифровки, которая находится на нашем секретном сервере.
В двух словах, вирус, добавляя расширение .locky к инфицированным файлам, использует механизм асимметричного шифрования для кодировки содержимого файлов, а зашифровка их названия происходит с помощью симметричного стандарта.

Содержание файла с _Locky_recover_instructions.txt

Содержание файла с _Locky_recover_instructions.txt

В результате, жертва не только не может открыть свои рисунки, документы и изображение, но даже не может определить, где находится тот или иной файл на жестком диске. В этот момент шантажисты рекомендуют панацею, с помощью которой все можно раскодировать за соответствующую плату. Это Locky Decrypter. Чтобы прибегнуть к данному средству, пользователю зараженного компьютера понадобится открыть переход Tor, указанный в файле _Locky_recover_instructions.txt, и перечислить 0,5 BTC на указанный биткойн-адрес. Правонарушители используют технологии onion-маршрутизации, а также процедуры оплаты через крипто-валюту. Это позволяет сохранить анонимность и обойти закон. К сожалению, основная масса вымогателей остается на свободе, продолжая производить все новые виды вымогательского ПО.

Locky Decrypter

Разработанная мошенниками инструкция по приобретению Locky Decrypter

В основе распространения вируса Locky лежит социальная инженерия. Так, непосредственно перед инфицированием большинство людей получает зараженное письмо по эл. почте с темой “ATTN: Invoice J-68522931” (8 цифр могут меняться). Письмо якобы содержит инвойс. В качестве выставителя счета фигурирует, например, компания General Mills. Но это обман, уловка вымогателей. При открытии прилагаемого документа Microsoft Word происходит выполнение установки вымогательской программы. В распространении вируса Win32 Locky на сегодняшний день не участвуют эксплоит-комплексы, которые предоставляют возможность вести более технологичные кампании.

Это один из примеров рассылки. Письма, темы и вложеные файлы могут быть разными.
Уплата выкупа с покупкой программы расшифровки Locky не лучший выход из ситуации. На этом настаивают кибер-преступники, но это определенно противоречит интересам инфицированных пользователей. Учитывая, что программа-вымогатель может не отключить функцию теневого копирования томов Volume Shadow Copy Service, наработано несколько процедур восстановления зашифрованных данных.

Удалить вирус, добавляющий расширение *.locky помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

  1. Загрузить программу для удаления вируса .locky. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).Загрузить программу для удаления вируса .locky
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель .locky блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 1000$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.Data Recovery Pro

Загрузить программу восстановелния данных Data Recovery Pro

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

  • Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.previous-versions
  • Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).Shadow Explorer

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя .locky

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Загрузить программу для удаления вируса .locky

Похожее

Leave a Reply Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Искать на сайте

Мы в Твиттере

Follow @it_bezopasnost

Свежие записи

  • Как удалить вирус Temposearch в Chrome, Firefox, IE, Safari
  • Как удалить Win Tonic вирус в Windows
  • Удаление decrypthelp@qq.com и восстановление зашифрованных файлов .java
  • Шифровальщик hola@all-ransomware.info (расширение .fairytail и другие)
  • Удаление браузерного вируса Newtab.today

Мы Вконтакте

Мы в Фейсбуке

Интернет Безопасность

Мы в Однокласниках

back up
© Copyright 2023 Интернет безопасность по-русски
 

Загружаются Комментарии...