.locky – это расширение файла зашифрованного вымогательским ПО, которое создано для того чтобы получить с доверчивых пользователей немалую выгоду. В этой статье мы рассмотрим методы удаления шифровальщика Locky и способы расшифровки Ваших файлов
За последние периоды отмечена демонстративная широкомасштабная атака нового штамма вымогательского ПО. Большинство пострадавших на данный момент находится в Германии, но ареал распространения увеличивается с ошеломляющей скоростью и уже есть сотни подтвержденных инфицированных ПК в СНГ. В настоящий момент неизвестно, какая группировка кибер-преступников ведет аферу. Тем не менее, характер работы троянца соответствует самой позорной практике цифрового вымогательства. Фактически, происходит шифрование личных файлов жертвы, при этом их имена превращаются в бессмысленный набор из 32 цифр и знаков с расширением .locky в конце последовательности. Атакованная операционная система идентифицирует эти объекты как файлы LOCKY, которые невозможно открыть независимо от того, какую программу выберет пользователь.
Для агрессии также характерны, помимо обезображивания файлов, ряд прочих отличительных признаков. Программа-вымогатель меняет обои рабочего стола на предупреждающее сообщение, текст повторяется в файле _Locky_recover_instructions.txt. Существует множество копий, поскольку упомянутый выше документ TXT находится в каждой отдельно взятой папке, содержащей бывшие когда-то читабельными заблокированные файлы. По существу, имеем дело с инструкциями по уплате выкупа, которые поясняют ситуацию с файлами, предоставляя алгоритм их восстановления.
В частности, сообщение гласит:
“!!! Важная информация !!!! Файлы зашифрованы цифровыми ключами RSA-2048 и AES-128. Расшифровать файлы можно исключительно с помощью закрытого ключа и программы расшифровки, которая находится на нашем секретном сервере.
В двух словах, вирус, добавляя расширение .locky к инфицированным файлам, использует механизм асимметричного шифрования для кодировки содержимого файлов, а зашифровка их названия происходит с помощью симметричного стандарта.
В результате, жертва не только не может открыть свои рисунки, документы и изображение, но даже не может определить, где находится тот или иной файл на жестком диске. В этот момент шантажисты рекомендуют панацею, с помощью которой все можно раскодировать за соответствующую плату. Это Locky Decrypter. Чтобы прибегнуть к данному средству, пользователю зараженного компьютера понадобится открыть переход Tor, указанный в файле _Locky_recover_instructions.txt, и перечислить 0,5 BTC на указанный биткойн-адрес. Правонарушители используют технологии onion-маршрутизации, а также процедуры оплаты через крипто-валюту. Это позволяет сохранить анонимность и обойти закон. К сожалению, основная масса вымогателей остается на свободе, продолжая производить все новые виды вымогательского ПО.
В основе распространения вируса Locky лежит социальная инженерия. Так, непосредственно перед инфицированием большинство людей получает зараженное письмо по эл. почте с темой “ATTN: Invoice J-68522931” (8 цифр могут меняться). Письмо якобы содержит инвойс. В качестве выставителя счета фигурирует, например, компания General Mills. Но это обман, уловка вымогателей. При открытии прилагаемого документа Microsoft Word происходит выполнение установки вымогательской программы. В распространении вируса Win32 Locky на сегодняшний день не участвуют эксплоит-комплексы, которые предоставляют возможность вести более технологичные кампании.
Это один из примеров рассылки. Письма, темы и вложеные файлы могут быть разными.
Уплата выкупа с покупкой программы расшифровки Locky не лучший выход из ситуации. На этом настаивают кибер-преступники, но это определенно противоречит интересам инфицированных пользователей. Учитывая, что программа-вымогатель может не отключить функцию теневого копирования томов Volume Shadow Copy Service, наработано несколько процедур восстановления зашифрованных данных.
Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.
Как было отмечено, программа-вымогатель .locky блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 1000$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.
Программа автоматического восстановления файлов
Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.
Загрузить программу восстановелния данных Data Recovery Pro
Теневые копии томов
В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.
Резервное копирование
Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.
Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.
Загрузить программу для удаления вируса .locky