Ransomware Locky

Znany również jako: Locky (wirus)
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware Locky

Czym jest Locky?

Ransomware Locky jest dystrybuowane za pośrednictwem złośliwego pliku .doc załączonego do wiadomości e-mail ze spamem. Dokument zawiera zaszyfrowane słowo, które pojawia się jako makra. Gdy użytkownik umożliwia ustawienie makr w programie Word, pobierany jest plik wykonywalny (ransomware), po czym następuje szyfrowanie różnych plików. Warto zauważyć, że Locky zmienia nazwy wszystkich plików na unikalne 16 liter i cyfr z rozszerzeniem pliku .locky (.zepto), a tym samym identyfikacja plików staje się niemal niemożliwa. Wszystkie z nich są szyfrowane przy użyciu algorytmów RSA-2048 i AES-1024, a więc klucz prywatny (który jest przechowywany na zdalnych serwerów kontrolowanych przez cyberprzestępców) jest potrzebny do deszyfrowania. W celu odszyfrowania swoich plików ofiara musi zapłacić okup.

Gdy pliki są zaszyfrowane, Locky tworzy plik txt w każdym folderze zawierającym zaszyfrowane pliki. Co więcej, to ransomware zmienia tapetę pulpitu. Zarówno pliki tekstowe, jak i tapeta zawierają ten sam komunikat, który informuje użytkowników o szyfrowaniu. Twierdzi się, że pliki można odszyfrować tylko za pomocą deszyfratora opracowanego przez cyberprzestępców, który kosztuje 0.5 Bitcoin (w czasie testów 0.5 BTC stanowiło równowartość 207,63 $). Aby to zrobić ofiara musi zainstalować przeglądarkę Tor i postępować zgodnie z linkiem podanym w plikach tekstowych/tapecie. Strona zawiera instrukcje krok po kroku dotyczące płatności. Warto wspomnieć, że Locky usuwa wszystkie kopie woluminów plików. W czasie badania nie było żadnych narzędzi zdolnych do odszyfrowywania plików dotkniętych Locky, a więc jedynym rozwiązaniem tego problemu jest przywrócenie plików z kopii zapasowej.

Locky decrypt instructions

Wyniki badań pokazują, że istnieją setki ransomware typu malware, które są podobne do Locky np. Cryptowall, JobCrypter, UmbreCrypt, TeslaCrypt i DMA-Locker. Wszystkie z nich zachowują się dokładnie tak samo - szyfrują pliki i żądają okupu. Jedyne różnice to wielkość okupu i rodzaj algorytmu używanego do szyfrowania plików. Badania ujawniły również, że nie ma gwarancji, że pliki zawsze zostaną rozszyfrowane nawet po zapłaceniu okupu. W ten sposób wspiera się po prostu szkodliwą działalność cyberprzestępców. Z tego powodu nigdy nie powinno się płacić okupu ani próbować z nimi skontaktować. Ponadto, użytkownicy muszą być poinformowani, że złośliwe oprogramowanie, takie jak Locky jest zazwyczaj dystrybuowane za pośrednictwem fałszywych aktualizacji oprogramowania, sieci P2P, szkodliwych załączników e-mail i trojanów.

Dlatego bardzo ważne jest, aby na bieżąco aktualizować oprogramowanie i dokładnie sprawdzać, co się pobiera. Ponadto, użytkownicy muszą być bardzo ostrożni podczas otwierania załączników e-mail wysyłanych z podejrzanych adresów. Koniecznością jest również korzystanie z dobrego oprogramowania antyspyware lub pakietu antywirusowego.

Zrzut ekranu wiadomości e-mail używanej do dystrybucji ransomware Locky. Temat wiadomości e-mail: - „ATTN: Faktura J-12345678", zainfekowany załącznik - "invoice_J-12345678.doc" (zawiera makra, które pobierają i instalują ransomware Locky na komputerze ofiary):

Drogi ..., zapoznaj się z załączoną fakturą (dokument Microsoft Word) oraz dokonaj płatności zgodnie z warunkami wymienionymi w dolnej części faktury. Skontaktuj się z nami, jeśli masz jakiekolwiek pytania. Cieszymy się ze współpracy z tobą!

infected email attachment distributing Locky ransomware

Plik tekstowy _Locky_recover_instructions.txt:

Text file with ransom payment instructions

Tekst prezentowany na tapecie pulpitu i plikach .txt utworzonych przez Locky:

!!! WAŻNA INFORMACJA !!!!

Wszystkie twoje pliki są zaszyfrowane przy użyciu szyfrowania RSA-2048 i AES-128.
Więcej informacji o RSA i AES możesz znaleźć tutaj:
hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

 

Deszyfrowanie Twoich plików jest możliwe tylko za pomocą klucza prywatnego i programu deszyfrującego, który znajduje się na naszym tajnym serwerze.
Aby otrzymać klucz prywatny skorzystaj z jednego z linków:
1. hxxp://6dtxxxxm4crv6rr6.tor2web.org/07Bxxx75DC646805
2. hxxp://6dtxxxxgqam4crv6rr6.onion.to/07Bxxx75DC646805
3. hxxp://6dtxxxxgqam4crv6rr6.onion.cab/07Bxxx75DC646805
4. hxxp://6dtxxxxgqam4crv6rr6.onion.link/07Bxxx75DC646805

 

Jeśli wszystkie te adresy są niedostępne, wykonaj następujące kroki:
1. Pobierz i zainstaluj przeglądarkę Tor: hxxps://www.torproject.org/download/download-easy.html
2. Po udanej instalacji, uruchom przeglądarkę i zaczekaj na inicjalizację.
3. Wpisz w pasku adresu: 6dtxxxxm4crv6rr6.onion/07Bxxx75DC6468054. Postępuj zgodnie z instrukcjami na stronie.
!!! Twoje osobiste ID: 07Bxxx75DC646805 !!!

Zrzut ekranu pulpitu ofiary zainfekowanego ransomware Locky:

locky ransomware attacking victims computer

Strona internetowa ransomware Locky wyjaśniająca ofiarom jak zapłacić okup, aby otrzymać oprogramowanie „Locky Decrypter" w celu odszyfrowania ich zainfekowanych plików:

Website selling Locky decryptor

Typy plików obierane za cel przez ransomware Locky:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Usuwanie ransomware Locky:

Natychmiastowe automatyczne usunięcie Locky (wirus): Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Locky (wirus). Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem Locky. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Locky).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware to aby wyeliminować wszelkie pozostałe pliki Locky. 

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Locky są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Locky możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

 Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i Malwarebytes Anti-Ransomware, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Locky.)

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta używa zaawansowanej proaktywnej technologii, która monitoruje aktywność ransomare i natychmiast ją zatrzymuje – zanim dotrze do plików użytkownika.

malwarebytes anti-ransomware

  • Najlepszym sposobem na uniknięcie zniszczeń spowodowanych infekcjami ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji o internetowych rozwiązaniach kopii zapasowych i oprogramowaniu o odzyskiwaniu danych znajduje się Tutaj.

Inne narzędzia znane z usuwania ransomware Locky:

Źródło: https://www.pcrisk.com/removal-guides/9807-locky-ransomware