Ransomware HappyLocker

Znany również jako: HappyLocker wirus
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware HappyLocker

Czym jest HappyLocker?

HappyLocker to ransomware szyfrujące pliki, oparte na Hidden Tear - projekcie ransomware open-source. Cyberprzestępcy promują HappyLocker poprzez "Instant Satoshi BOT" - złośliwą aplikację, która rzekomo nagradza użytkowników w Bitcoinach za wykonywanie różnych "captchas". Po infiltracji, HappyLocker szyfruje pliki i dołącza do nazwy każdego z nich rozszerzenie ".happy" (na przykład "sample.jpg" zostaje zmieniona na "sample.jpg.happy"). Po udanym szyfrowaniu HappyLocker tworzy plik tekstowy .txt ("READDDDDDD.txt") i .bmp ("READ.bmp") i ustawia go jako tapetę pulpitu) oraz umieszcza je na pulpicie.

Oba pliki zawierają identyczną wiadomość informującą ofiary o szyfrowaniu i zachęcającą ich do postępowania zgodnie z instrukcjami podanymi na stronie internetowej. Należy pamiętać, że strona HappyLocker jest identyczna jak strona z Locky - ransomware wysokiego ryzyka. W rzeczywistości wirusy te nie są powiązane - HappyLocker jedynie próbuje naśladować to oprogramowanie. Strona zawiera wiadomość z żądaniem okupu, informującą, że pliki mogą być odzyskane tylko za pomocą specjalnego Deszyfratora, który może podobno zostać otrzymany jedynie po zapłaceniu .1 Bitcoina (~ 70 $). Należy pamiętać, że deszyfrowanie bez unikalnego klucza (zamiast wspomnianego oprogramowania) jest niemożliwe. Deweloperzy przechowują klucz na zdalnym serwerze, a ofiary są zachęcane do zapłacenia za niego. Mimo, że okup jest stosunkowo niewielki (programiści innych wirusów typu ransomware żądają setek lub nawet tysięcy dolarów), nigdy nie powinno się próbować skontaktować się z tymi ludźmi ani płacić okupu. Badania pokazują, że większość ofiar jest ignorowanych po uiszczeniu płatności. Tym samym płacenie nie gwarantuje, że pliki zawsze zostaną rozszyfrowane i jest wysoce prawdopodobne, że zostaniesz oszukany. Obecnie nie ma żadnych narzędzi zdolnych do odszyfrowywania plików zainfekowanych przez HappyLocker. W związku z tym można rozwiązać ten problem jedynie poprzez przywrócenie plików/systemu z kopii zapasowej.

Zrzut ekranu wiadomości zachęcającej użytkowników do zapłacenia okupu w celu odszyfrowania ich zainfekowanych danych:

HappyLocker decrypt instructions

Internet jest pełen wirusów typu ransomware, które są podobne do HappyLocker. Przykłady obejmują Crysis, Kangaroo, EncrypTile i wiele innych. Wszystkie szyfrują pliki i żądają zapłacenia okupu. Ransomware wykorzystuje najczęściej szyfrowanie asymetryczne, a zatem jedyną główną różnicą pomiędzy nimi jest wysokość okupu. Deweloperzy często dystrybuują te wirusy wykorzystując wiadomości Spam (zainfekowane załączniki), sieci peer-to-peer (P2P) i inne źródła pobierania stron trzecich (strony internetowe z bezpłatnym hostingiem plików, strony internetowe z freeware do pobrania itp.), trojany i fałszywe aktualizatory oprogramowania. Dlatego należy ignorować wszystkie wiadomości e-mail otrzymane z podejrzanych/nierozpoznanych adresów e-mail. Ponadto, należy pobierać pliki/oprogramowanie tylko z zaufanych źródeł (na przykład oficjalnych stron pobierania) i na bieżąco aktualizować zainstalowane aplikacje. Korzystanie z legalnego oprogramowania antywirusowego/antyspyware jest również niezbędne. Kluczem do bezpieczeństwa komputerowego jest ostrożność.

Zrzut ekranu pliku tekstowego HappyLocker:

HappyLocker text file

Wiadomość z żądaniem okupu (prezentowana w plikach .txt i .bmp):

WAŻNA INFORMACJA! ! ! !
Wszystkie twoje pliki są zaszyfrowane przez HAPPY Ciphers
Aby odszyfrować:
- Otwórz tę stronę: hxxp://ysasute.com/happy
- Wykonaj podane kroki

Zrzut ekranu strony internetowej HappyLocker:

HappyLocker decrypt instructions

Tekst prezentowany na stronie internetowej HappyLocker:

Prezentujemy specjalne oprogramowanie - Happy Decryptor™ -
które pozwala na odszyfrowanie i odzyskanie kontroli nad wszystkimi twoimi zaszyfrowanymi plikami.

Jak kupić Happy Decryptor™?

Możesz dokonać płatności za pomocą Bitcoinów. Istnieje wiele sposobów, aby to zdobyć.

Należy zarejestrować portfel Bitcoin:

Wykorzystaj najprostszy portfel online lub inną metodę tworzenia portfela

Kup Bitcoiny. Choć jeszcze nie jest łatwo kupić Bitcoiny to z każdym dniem staje się to coraz prostsze.

Wyślij 0,1 BTC Bitcoina na adres: 1JbXbg4ovQLaMkMUykpNowoionnhgiE5Zm

Uwaga: Potwierdzenie płatności zajmuje do 30 minut lub więcej. Prosimy o cierpliwość ...

Odśwież stronę i pobierz deszyfrator.

Gdy otrzymana zostanie transakcja Bitcoin otrzymasz potwierdzenie i zostaniesz przekierowany do strony, z której pobierzesz deszyfrator.

Zrzut ekranu plików zaszyfrowanych przez HappyLocker (rozszerzenie ".happy"):

HappyLocker decrypt instructions

Zrzut ekranu Instant Satoshi BOT – złośliwej aplikacji dystrybuującej ransomware HappyLocker:

HappyLocker ransomware distributing app

Usuwanie ransomware HappyLocker:

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem HappyLocker. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.


Download program do usuwania HappyLocker wirus
1) Pobierz i zainstaluj   2) Uruchom skanowanie systemu   3) Ciesz się swoim czystym komputerem!

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Reimage.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware HappyLocker).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki HappyLocker.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty HappyLocker są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez HappyLocker możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i Malwarebytes Anti-Ransomware, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak HappyLocker.)

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta używa zaawansowanej proaktywnej technologii, która monitoruje aktywność ransomare i natychmiast ją zatrzymuje – zanim dotrze do plików użytkownika.

malwarebytes anti-ransomware

  • Najlepszym sposobem na uniknięcie zniszczeń spowodowanych infekcjami ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji o internetowych rozwiązaniach kopii zapasowych i oprogramowaniu o odzyskiwaniu danych znajduje się Tutaj.

Inne narzędzia znane z usuwania ransomware HappyLocker: