Soft2Secure

Virus fail .locky: Decrypter dan pembuangan ransomware locky

Virus fail .locky: Decrypter dan pembuangan ransomware locky

Ransomware jenis baru telah menyerang komputer-komputer pada skala besar sejak beberapa hari lepas. Walaupun kebanyakan pengguna yang dijangkiti kini di Jerman, permukaan serangan nampaknya mengembang dengan kepantasan tidak terkawal. Tidak dapat dipastikan pada masa ini sindiket penjenayah siber yang mana bertanggungjawab terhadap ancaman ini, tetapi operasi trojan ini tentunya mencerminkan amalan paling teruk dalam pemerasan digital ini. Apa yang berlaku adalah fail peribadi mangsa dienkripsikan dan namanya ditukar menjadi jujukan 32 nombor dan aksara yang meraban diikuti oleh sambungan .locky. Sistem pengoperasian ini mengenalpastinya sebagai fail-fail LOCKY yang tidak boleh dibuka tidak kira menggunakan perisian apa pun.

Fail .locky

Serangan ini juga boleh dikenali melalui beberapa ciri-ciri tersendiri selain pengubahan fail menyakitkan hati. Ransomware ini mengubah wallpaper komputer pengguna yang dijangkiti kepada mesej amaran, yang mana teks diulang dalam fail-fail bernama _Locky_recover_instructions.txt. Ia menggunakan kata jamak kerana dokumen TXT yang disebut boleh ditemui dalam setiap folder menyimpan barangan dikunci yang sebelumnya adalah data peribadi mangsa. Ini tidak lebih daripada arahan pembayaran tebusan yang memberitahu apa berlaku kepada fail-fail tersebut dan memberikan panduan tentang pilihan pemulihan.

Secara khususnya, mesej mengatakan:
“!!! Maklumat penting !!!! Semua fail anda telah dienkripsikan dengan cipher RSA-2048 dan AES-128. Menyahsulit fail anda hanya mungkin dengan penggunaan private key dan program nyahsulit, yang kami letakkan di pelayan rahsia kami.”
Secara ringkas, ini bermaksud virus sambungan fail .locky menggunakan kriptografi assymmetric untuk menyulitkan kandungan fail dan juga menggunakan symmetric cipher untuk mengkodkan nama fail itu sendiri.

_Locky_recover_instructions.txt

Disebabkan ini, mangsa tidak dapat membuka gambar, dokumen atau video malahan tidak dapat menentukan yang mana satu adalah fail gambar, dokumen atau video pada pemacu keras. Pada peringkat ini pemeras mencadangkan ‘ubat’, yang dijamin berupaya menyahkod semuanya sekiranya mangsa membayar. Ini dipanggil Locky Decrypter. Untuk menggunakan perkakas ini, mangsa yang dijangkiti perlu melawat gerbang Tor dinyatakan di dalam _Locky_recover_instructions.txt dan membayar 0.5 BTC ke alamat Bitcoin dinyatakan pada halaman itu. Penggunaan teknologi The Onion Router dan aliran kerja pembayaran menggunakan cryptocurrency adalah langkah berjaga-jaga yang penjenayah gunakan untuk kekal tanpa nama dan mengelakkan penguatkuasaan undang-undang. Malangnya kebanyakan penjenayah ini berjaya kekal bebas dan terus kembali dengan jenis ransomware baru.

Panduan pembelian Locky Decrypter disediakan oleh penipu

Penyebaran virus .locky bergantung kepada pembohongan ‘social engineering’. Secara khususnya, sebelum dijangkiti, kebanyakan orang akan menerima mesej email bertajuk “ATTN: Invoice J-68522931” (8 digit mungkin berlainan). Emel-emel ini menyamar sebagai invois daripada General Mills, tetapi ia bukan. Dokumen Microsoft Word yang dilampirkan adalah objek yang memulakan ransomware sebaik sahaja pengguna yang tidak tahu menahu membukanya. Exploit kit, yang biasanya menghasilkan mod pencemaran yang lebih canggih, belum lagi dikaitkan dengan .locky buat masa ini.

Membayar tebusan dan membeli program Locky Decrypter bukanlah idea yang baik. Ini adalah apa yang penjenayah siber menekankan, tetapi tentulah bukan sebab bersimpati terhadap pengguna yang dijangkiti. Memandangkan ransomware ini gagal mematikan Volume Shadow Copy Services pada mesin, masuk akallah mengenakan beberapa teknik bijak untuk mendapatkan semula data yang disulitkan.

Buang virus sambungan fail *.locky dengan pembersih automatik

Ini adalah kaedah yang sangat berkesan dalam menghapuskan ancaman malware secara keseluruhan dan ransomware secara khusus. Penggunaan perisian sekuriti yang dipercayai memastikan pengesanan teliti semua komponen virus dan pembuangan sepenuhnya dengan satu klik sahaja. Ambil perhatian, menghapuskan jangkitan ini dan mendapatkan semula fail-fail anda adalah dua perkara berbeza, tetapi keperluan menghapuskan ancaman ini tidak dapat disangkal kerana pernah dilaporkan yang ia membawa sekali Trojan lain ketika beroperasi.

  • Muat turun dan pasang perisian pembuangan virus fail .locky. Selepas melancarkan penyelesaian ini, tekan Start Computer Scan.

    Muat turun pembuang virus fail .locky

  • Perkakas ini akan menunjukkan keputusan imbasan, melaporkan malware yang dikesan. Pilih Fix Threats untuk membuang semua jangkitan yang ditemui. Ini akan membawa kepada penghapusan sepenuhnya semua virus yang dipilih.

Mendapatkan kembali fail-fail *.locky yang disulitkan

Telah disebutkan yang malware sambungan .locky mengenakan crypto bertahap tinggi untuk membuat fail-fail tidak dapat dicapai, jadi tiada tongkat sakti yang memulihkan semua data dienkripsikan dalam sekelip mata, melainkan tentulah, membayar tebusan yang mahal. Tetapi terdapat teknik yang boleh membantu anda mendapatkan kembali benda-benda penting – ketahui pilihan anda.

Perisian pengembalian fail automatik

Agak menarik mengetahui yang jangkitan memadamkan fail asal dalam bentuk tidak dienkripsi. Hanya salinan yang melalui pemprosesan crypto ransomware. Jadi perkakasan seperti Data Recovery Pro boleh mengembalikan objek dipadamkan walaupun ia dibuang dengan cara yang selamat. Penyelesaian sementara ini tentunya berguna kerana ia terbukti agak berkesan.
Data Recovery Pro

Shadow Volume Copies

Pendekatan ini bergantung kepada keupayaan asas Windows membuat sandaran fail-fail di dalam komputer, yang dilakukan pada setiap restore point. Terdapat syarat penting untuk kaedah ini: ia berfungsi hanya jika ciri System Restore dihidupkan sebelum pencemaran. Selain itu, jika terdapat perubahan kepada fail selepas restore point terkini, ia tidak akan ditunjukkan di dalam versi fail dikembalikan.

  • Guna ciri Previous Versions

    Dialog Properties untuk fail rawak terdapat satu tab dipanggil Previous Versions. Inilah tempat di mana versi disandarkan ditunjukkan dan boleh dikembalikan. Jadi klik kanan pada fail, pergi ke Properties, tekan tab disebutkan di atas dan pilih Copy atau Restore, bergantung kepada lokasi anda mahu ia dikembalikan.Previous Versions

  • Menggunakan Shadow Explorer

    Proses di atas boleh dibuat secara automatik dengan perkakas dipanggil Shadow Explorer. Secara asasnya, ia melakukan perkara yang sama (mendapatkan Shadow Volume Copies), tetapi dengan cara yang lebih mudah. Jadi muat turun dan pasang aplikasi, mulakannya dan pilih fail dan folder yang versi sebelumnya anda mahu kembalikan. Untuk membolehkan tugas ini dilakukan, klik kanan pada sebarang objek dan pilih ciri Export.Shadow Explorer

Sandaran

Dari semua pilihan yang tidak berkaitan membayar tebusan, ini adalah paling baik. Sekiranya anda telah menyandarkan maklumat anda ke pelayan luaran sebelum ransomware menyerang PC anda, mengembalikan fail-fail dienkripsikan oleh ransomware ini adalah semudah log masuk ke dalam antaramuka tersebut, memilih fail-fail yang betul dan memulakan tindakan pengembalian fail. Sebelum anda melakukannya, pastikan anda telah membuang ransomware daripada komputer anda sepenuhnya.

Periksa sebarang sisa tinggalan virus sambungan fail .locky

Sekiranya anda memilih mengikut teknik pembersihan manual, sesetengah sisa ransomware mungkin masih tinggal sebagai objek dikelirukan dalam sistem pengoperasian atau registry entry. Bagi memastikan tiada komponen merbahaya ancaman ini yang masih tinggal, pastikan komputer anda diimbas oleh perisian sekuriti malware yang dipercayai.

Muat turun pembuang virus fail .locky