.locky – это расширение файла зашифрованного вымогательским ПО, которое создано для того чтобы получить с доверчивых пользователей немалую выгоду. В этой статье мы рассмотрим методы удаления шифровальщика Locky и способы расшифровки Ваших файлов
За последние периоды отмечена демонстративная широкомасштабная атака нового штамма вымогательского ПО. Большинство пострадавших на данный момент находится в Германии, но ареал распространения увеличивается с ошеломляющей скоростью и уже есть сотни подтвержденных инфицированных ПК в СНГ. В настоящий момент неизвестно, какая группировка кибер-преступников ведет аферу. Тем не менее, характер работы троянца соответствует самой позорной практике цифрового вымогательства. Фактически, происходит шифрование личных файлов жертвы, при этом их имена превращаются в бессмысленный набор из 32 цифр и знаков с расширением .locky в конце последовательности. Атакованная операционная система идентифицирует эти объекты как файлы LOCKY, которые невозможно открыть независимо от того, какую программу выберет пользователь.
Вместо исходных файлов в каждой папке появляются странно выглядящие объекты .locky.
Для агрессии также характерны, помимо обезображивания файлов, ряд прочих отличительных признаков. Программа-вымогатель меняет обои рабочего стола на предупреждающее сообщение, текст повторяется в файле _Locky_recover_instructions.txt. Существует множество копий, поскольку упомянутый выше документ TXT находится в каждой отдельно взятой папке, содержащей бывшие когда-то читабельными заблокированные файлы. По существу, имеем дело с инструкциями по уплате выкупа, которые поясняют ситуацию с файлами, предоставляя алгоритм их восстановления.
В частности, сообщение гласит:
“!!! Важная информация !!!! Файлы зашифрованы цифровыми ключами RSA-2048 и AES-128. Расшифровать файлы можно исключительно с помощью закрытого ключа и программы расшифровки, которая находится на нашем секретном сервере.
В двух словах, вирус, добавляя расширение .locky к инфицированным файлам, использует механизм асимметричного шифрования для кодировки содержимого файлов, а зашифровка их названия происходит с помощью симметричного стандарта.
Содержание файла с _Locky_recover_instructions.txt
В результате, жертва не только не может открыть свои рисунки, документы и изображение, но даже не может определить, где находится тот или иной файл на жестком диске. В этот момент шантажисты рекомендуют панацею, с помощью которой все можно раскодировать за соответствующую плату. Это Locky Decrypter. Чтобы прибегнуть к данному средству, пользователю зараженного компьютера понадобится открыть переход Tor, указанный в файле _Locky_recover_instructions.txt, и перечислить 0,5 BTC на указанный биткойн-адрес. Правонарушители используют технологии onion-маршрутизации, а также процедуры оплаты через крипто-валюту. Это позволяет сохранить анонимность и обойти закон. К сожалению, основная масса вымогателей остается на свободе, продолжая производить все новые виды вымогательского ПО.
Разработанная мошенниками инструкция по приобретению Locky Decrypter
В основе распространения вируса Locky лежит социальная инженерия. Так, непосредственно перед инфицированием большинство людей получает зараженное письмо по эл. почте с темой “ATTN: Invoice J-68522931” (8 цифр могут меняться). Письмо якобы содержит инвойс. В качестве выставителя счета фигурирует, например, компания General Mills. Но это обман, уловка вымогателей. При открытии прилагаемого документа Microsoft Word происходит выполнение установки вымогательской программы. В распространении вируса Win32 Locky на сегодняшний день не участвуют эксплоит-комплексы, которые предоставляют возможность вести более технологичные кампании.
Это один из примеров рассылки. Письма, темы и вложеные файлы могут быть разными.
Уплата выкупа с покупкой программы расшифровки Locky не лучший выход из ситуации. На этом настаивают кибер-преступники, но это определенно противоречит интересам инфицированных пользователей. Учитывая, что программа-вымогатель может не отключить функцию теневого копирования томов Volume Shadow Copy Service, наработано несколько процедур восстановления зашифрованных данных.
Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.
Как было отмечено, программа-вымогатель .locky блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 1000$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.
Программа автоматического восстановления файлов
Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.
Загрузить программу восстановелния данных Data Recovery Pro
Теневые копии томов
В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.
Резервное копирование
Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.
Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.
