Locker Virus

Známý též jako: Locker virus
Rozšíení: Nízké
Stupe poškození: Závažné

Návod na odstranění ransomwaru Locker

Co je to Locker?

Locker je ransomwarová infekce která napadá počítače prostřednictvím souborů stažených z internetu - falešných flashových přehrávačů, cracknutých verzí her (například TeamExtreme Minecraft). Po úspěšném proniknutí do počítače obětí předmětný malware šifruje soubory uživatele a pro jejich odblokování požaduje zaplacení výkupného ve výši 0.1 BTC (bitcoinu), a to během následujících 72 hodin. V případě, že oběť stanovené výkupné v určené lhůtě nezaplatí, toto se zvyšuje na 1.0 BTC. Ransomware Locker šifruje dokumenty (například soubory .doc, .ppt, .docx) a obrázkové soubory (.psd, raw, .jpg). Zatímco ransomware jako takovou žádnou novinkou není (předchozí verze se šířily internetem pod názvy cryptowall, ctb-locker, cryptolocker apod.), tato verze je unikátní v tom směru, že její aktivaci kybernetičtí zločinci nastavili na 00:00 25.05.2015 místního času, tj. před tím oběti ani neměly tušení, že byl předmětný ransomware v jejich počítačích schován. Tato taktika umožňuje kybernetickým zločincům svůj škodlivý program až do poslední chvíle skrýt před prodejci antivirů a výzkumníky malwaru, přičemž následně najednou dojde k jeho aktivaci u mnoha obětí zároveň.

Zmiňovaný způsob šíření umožňuje značné oddálení rozpoznání předmětného ransomwaru antivirovými programy až do doby, kdy již ze strany napadených uživatelů dojde k zaplacení požadovaného výkupného. Kromě toho některé variantu ransomwaru Locker mažou též zálohované kopie infikovaných souborů, díky čemuž je jejich obnova prakticky nemožná. Přesný název ransomwaru Locker se liší dle jeho konkrétní verze; do oběhu se přitom dostaly verze Locker v1.7, Locker V2.16, Locker v2.60, Locker v3.5.3, Locker v.3.49 a Locker V5.52; se vší pravděpodobností se přitom jedná o náhodná čísla - doposud není zřejmé, podle jakého klíče program napadá různé uživatele.

ransomwarový virus Locker

Při psaní tohoto článku nebyly dosud známy žádné nástroje, pomocí níž by bylo možné zašifrované soubory obnovit - pomocí následujících instrukcí však alespoň dosáhnete odstranění ransomwaru Locker, Vaše data však zůstanou i nadále zakódovaná. Před odstraněním ransomwaru Locker se přitom doporučuje provést zálohu zašifrovaných souborů a obsahu složek %PROGRAMDATA%\Digger, %PROGRAMDATA%\rkcl, %PROGRAMDATA%\tor, %PROGRAMDATA%\steg, současně byste si též měli zapsat jedinečnou adresu bitcoinové peněženky, v jejích prospěch platba výkupného směřuje. Tato informace totiž může být užitečná, pokud později dojde k vyvinutí nástroje, který by dokázal Lockerem zašifrované soubory obnovit. Mimo to je třeba uvést, že programy jako Locker jsou více než pádným důvodem svá data vždy důkladně zálohovat. Vezměte přitom současně na vědomí, že platba výkupného se fakticky rovná přímému zaslání peněz internetovým zločincům - nejenže tak podporujete jejich nekalý způsob podnikání, ale nadto ani nemáte žádnou záruku, že Vaše data budou skutečně dekódována. Pro vyhnutí se takovýmto počítačovým nákazám se proto vyplatí být náležitě ostražitý především při otevírání emailových zpráv, stahováním z P2P sítí apod. Současně vždy používejte výhradně důvěryhodné antivirové a antimalwarové programy.

Záložka ‘Informace’ v Lockeru:

Záložka Informace v Lockeru

Text zobrazený v záložce Informace:

All your personal files on this computer are locked and encrypted by Locker. The encrypting has been done by professional software and your files such as: photos, videos, and crypto currency wallets are not damaged but just not readable for now. You can find the complete list with all your encrypted files in the files tab. The encrypted files can only be unlocked by a unique 2048-bit RSA private key that is safely stored on our server till [DATE]. If the key is not obtained before that moment it will be destroyed and you will not be able to open your files ever again. Obtaining your private unique key is easy and can be done clicking on the payment tab and pay a small amount of 0.1 BTC to the wallet address that was created for you. If the payment is confirmed the decryption key will be sent to your computer and the Locker software will automatically start the decrypting process. We have absolutely not interest in keeping your files encrypted forever. You can still safely use your computer, no new files will be encrypted and no malware will be installed. When the files are encrypted Locker will automatically uninstall itself.

Záložka ‘Platba’ v Lockeru:

Záložka Platba v Lockeru:

Text zobrazený v záložce Platba:

Bitcoins is a anonymous online payment system for more information see bitcoin.com. To obtain your decryption key you have to send 0.1 BTC to the bitcoin address listed below. We recommend you to send the bitcoins to our wallet immediately and not store them in a local wallet since local wallets are encrypted by Locker. Payment confirmation usually takes about 1 hour. When we receive the payment the decryption key will automatically be send to the Locker software and start the decryption process. Warning any attempt to remove damage or even investigate the Locker software will lead to immediate destrution of your private key on our server!

Vezměte prosím na vědomí, že při psaní tohoto článku nebyly známy žádné způsoby, které by dokázaly, vyjma zaplacení výkupného, Lockerem zašifrované soubory odemknout (Vyzkoušet je nicméně možné službu Shadow copy). Podle následující příručky pro odstranění tudíž dosáhnete odstranění ransomwarové infekce z počítače, nicméně infikované soubory zůstanou i nadále uzamknuty. V případě, že způsoby pro odemknutí souborů vyjdou v budoucnu najevo, budeme informace na těchto stránkách samozřejmě o tyto aktualizovat.

Odstranění ransomwaru Locker:

Rychlé menu:

Krok 1

Uživatelé Windows XP a Windows 7:Přepněte počítač do Nouzového režimu. V menu Start zadejte Vypnout, zvolte Restartovat a OK. Během zapínaní se počítače stiskněte opakovaně klávesu F8, dokud se nezobrazí menu Pokročilé Možnosti Windows, potom zvolte Nouzový režim s prací v síti ze seznamu a stiskněte ENTER. 

Nouzový režim s prací v síti

Video ukazující jak zapnout Windows 7 v "Nouzovém režimu se sítí":

Uživatelé Windows 8: Spuštění Windows 8 v Nouzovém režimu s prací v síti - Přejděte na úvodní obrazovku Windows 8, napište Pokročilé, ve výsledcích vyhledávání zvolte Nastavení. Klikněte na pokročilé možnosti spuštění a otevřeném okně "Obecná nastavení počítače" zvolte možnost Pokročilé spuštění. Váš počítač se následně restartuje s menu pokročilými možnostmi spuštění - v těchto klikněte na tlačítko "Poradce při potížích" a následně vyberte "Pokročilé možnosti. Zvolte možnost "Nastavení spuštění". Klikněte na tlačítko "Restartovat". Počítač se následně restartuje, pro spuštění Nouzového režimu s prací v síti následně stiskněte klávesu F5.

Windows 8 Nouzový režim s prací v síti

Video zobrazující spuštění Windows 8 v "Nouzovém režimu s prací v síti":

Krok 2

Přihlaste se na účet, který byl Lockerem napaden. Zapněte internetový prohlížeč a stáhněte věrohodný anti-spyware program. Aktualizujte ho a spusťte úplnou kontrolu systému. Odstraňte všechny položky, které objeví.

▼ Stáhnout odstraňovač Locker virus

Stažením kteréhokoliv softwaru ze seznamu na našich internetových stránkách souhlasíte s našimi zásadami ochrany osobních údajů a smluvními podmínkami. Veškeré námi doporučované produkty byly podrobně testovány a schváleny našimi specialisty, jakožto jedny z nejlepších řešení pro odstraňování internetových hrozeb.

Pokud nemůžete Nouzový režim s prací v síti spustit, zkuste funkci Obnovy systému.

Video zobrazující postup pro odstranění ransomwarového viru prostřednictvím "Nouzového režimu s příkazovým řádkem" a "Obnovy systému":

1. Při spouštění počítače stiskněte několikrát klávesu F8, dokud se nezobrazí menu Windows pokročilého nastavení, následně vyberte Nouzový režim s příkazovým řádkem a stiskněte klávesu ENTER.

Spuštění počítače v Nouzovém režimu s příkazovým řádkem

2. Při spuštění Nouzového režimu s příkazovým řádkem, zadejte: cd restore a stiskněte ENTER.

Obnova systému prostřednictvím příkazu cd restore

3. Následně zadejte: rstrui.exe a stiskněte ENTER.

Obnova systému prostřednictvím příkazu rstrui.exe

4. V otevřeném okně klikněte na "Další".

Obnovení systému - nastavení

5. Zvolte některý z dostupných bodů obnovy a klikněte na "Další" (tímto bude Váš systém obnoven k dřívějšímu datu, kdy ještě nebyl Lockerem ransomwarovým virem zasažen).

Zvolte bod obnovy

6. V otevřem okně zvolte "Ano".

Spusťte Obnovu systému

7. Po obnově Vašeho počítače k dřívějšímu datu proveďte sken Vašeho počítače pomocí doporučovaného antispywarového software abyste odstranili veškeré zbývající soubory viru Alpha Crypt.

Některá napadení ransomwarem jsou schopny zašifrovat všechny soubory, které byly uloženy na napadeném PC. Pokud se jedná o takovou situaci, můžete využít některé z nástrojů na seznamu na odšifrování svých souborů.

Pro obnovu souboru na tento klikněte pravým tlačítkem, přejde do Vlastností a následně do záložky Předchozí verze. Pokud je dostupný, vyberte nabídnutý Bod obnovy a klikněte na tlačítko "Obnovit"

Odstranění zašifrovaných soborů pomocí CryptoDefense

Nemůžete-li spustit Váš počítač v Nouzovém režimu s prací v síti (nebo s příkazovým řádkem), spusťte Váš počítač pomocí záchranného disku. 

Některé varianty ransomwaru totiž blokují též nouzový režim, v důsledku čehož je jeho odstranění ještě o něco obtížnější. K tomuto postupu budete potřebovat v prvé řadě přístup k jinému počítači.

Pro znovuzískání kontroly nad soubory zašifrovanými virem Locker můžete zkusit program zvaný Shadow Explorer. Pro více informací o předmětném programu klikněte zde.

Snímek programu shadow explorer

 Pro ochranu Vašeho počítače před šifrovacími viry využívejte důvěryhodné antivirové a anti-spywarové programy. Jako další způsob ochrany můžete využít též program CryptoPrevent. (CryptoPrevent uměle zavádí zásady ochrany určitým druhům souborů v registrech a brání tak jejich infekci viry jako například Locker).

Snímek programu cryptoprevent

Další dostupné nástroje pro odstranění viru Locker:

Zdroj: https://www.pcrisk.com/removal-guides/9037-locker-virus