Locky Ransomware

Známý též jako: Locky virus
Rozšíení: Nízké
Stupe poškození: Závažné

Návod na odstranění ransomwaru Locky

Co je to Locky?

Locky je ransomwarový program šířený prostřednictvím infikovaných .doc souborů přiložených k emailovým zprávám. Každý takovýto dokument obsahuje šifrovaný text, který je zároveň makrem. V případě, kdy má uživatel ve Wordu povoleno spouštění maker, dojde ke stažení exe souboru (ransomwaru) a následně k zakódování souborů, resp. změně názvu souborů na 16 místnou alfanumerickou kombinaci a připojení přípony .locky (.zepto). V této souvislosti je proto prakticky nemožné původní soubory identifikovat. Zašifrované soubory jsou zakódovány pomocí algoritmů RSA-2048 a AES-1024, přičemž pro jejich odemčení je vyžadován zvláštní klíč (uložený na serverech kybernetických zločinců), přičemž za jeho získání je požadováno zaplacení výkupného.

Po zakódování souborů Locky vytvoří v každé složce obsahující zakódované soubory zvlášní  .txt a _HELP_instructions.html soubory a současně dojde ke změně tapety na ploše. Jak uvedené soubory tak nová tapeta přitom obsahují tutéž zprávu, obsahující informace o dekódování zamčených souborů. Uvádí se, že dešifrování je možné pouze pomocí zvláštního klíče, dostupného za cenu .5 BitCoinu (tj. při provádění našeho průzkumu cca $207.63). Pro možnost pokračovat je uživatel přinucen instalovat prohlížeč Tor a přejít na na ploše, resp. ve zprávě zobrazený odkaz. Uvedená stránka přitom obsahuje platební instrukce. Je třeba poznamenat, že při provádění našeho šetření nebyly známy žádné způsoby, jak zašifrované soubory odemknout, prakticky jedinou možností je tak jejich obnova ze zálohy.

Locky pokyny pro dešifrování

Průzkumy ukazují, že na intenetu existují doslova stovky Locky podobných ransomwarových programů, příkladem lze zmínit například CryptoWall, JobCrypter, UmbreCrypt, TeslaCrypt a DMA-Locker. Jejich společným jmenovatelem je zašifrování souborů a požadování výkupného za jejich odemčení. Prakticky jediným rozdílem mezi nimi je tak výše výkupného a použitý šifrovací algoritmus. Průzkumy rovněž ukazují, že neexistuje žádná záruka, že po zaplacení výkupného ke slibovanému odemčení souborů skutečně dojde. Současně lze poznamenat, že zaplacení výkupného dochází k praktické podpoře nekalé výdělečné činnosti kybernetických zločinců. V této souvislosti se proto zaplacení výkupného či pokus o jejich kontaktování nedoporučuje. Vezměte dále na vědomí, že Locky se šíří zpravidla prostřednictvím infikovaných příloh k emailovým zprávám, pomocí P2P sítí či falešných softwarových aktualizací či trojských koní. Z tohoto důvodu je proto nanejvýš vhodné mít instalované programy vždy aktualizované a při stahování programů z internetu dbát zvýšené pozornosti. Rovněž se vyplatí být nanejvýš opatrný při otevírání emailových příloh u zpráv zasílaných z podezřelých adres, resp. používat legitimní antivirový software. 

Níže jsou uvedeny snímky emailových zpráv šířených pro šíření ransomwaru Locky.

Například - předmět zprávy - "ATTN: Invoice J-12345678”, infikovaná příloha - "invoice_J-12345678.doc" (obsahující makra způsobující stažení a instalaci ransomwaru Locky do počítače oběti):

Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!

Níže jsou zobrazeny snímky emailových zpráv obsahujících infikované přílohy způsobující instalaci ransomwaru Locky do počítače oběti:

spamový email pro šíření locky příklad č. 4 spamový email pro šíření locky příklad č. 3 spamový email pro šíření locky příklad č. 2 infikovaná příloha emailu pro šíření locky ransomwaru

Snímek souboru _HELP_instructions.html vytvořeného ransomwarem Locky:

soubor _HELP_instructions.html locky ransomwaru

Soubor _Locky_recover_instructions.txt (nebo _HELP_instructions.txt):

Textový soubor z platebními pokyny

Text zobrazený na tapetě plochy a v textových souborech Locky:

!!! IMPORTANT INFORMATION !!!!


All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard


Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. hxxp://6dtxxxxm4crv6rr6.tor2web.org/07Bxxx75DC646805
2. hxxp://6dtxxxxgqam4crv6rr6.onion.to/07Bxxx75DC646805
3. hxxp://6dtxxxxgqam4crv6rr6.onion.cab/07Bxxx75DC646805
4. hxxp://6dtxxxxgqam4crv6rr6.onion.link/07Bxxx75DC646805


If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxxxxm4crv6rr6.onion/07Bxxx75DC646805
4. Follow the instructions on the site.
!!! Your personal identification ID: 07Bxxx75DC646805 !!!

Snímek plochy počítače nakaženého ransomwarem Locky:

Snímek plochy počítače nakaženého ransomwarem Locky

Internetová stránka Locky ransomwaru s pokyny k platbě výkupného za poskytnutí klíče ke slibovanému údajnému odemčení zašifrovaných souborů:

Stránka nabízející prodej Locky dešifrovacího klíče

Druhy souborů zasažené Locky ransomwarem:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Stránka s platbou výkupného ('Locky Decryptor'):

locky decryptor payment page

Aktualizace 18. dubna 2016 - Byla zveřejněna nová kopie Locky. AutoLocky je nová ransomwarová hrozba využívající programovací jazyk AutoIt. Tato imituje originální ransomware Locky přidělením přípon .Locky zašifrovaným souborům. Pro identifikaci, zda byl Váš systém zasažen ransomwarem AutoLocky si pročtěte zprávu požadující zaplacení výkupného - tato je od původního Locky ransomwaru odlišná. Dobrou zprávou je, že Fabian Wosar z Emsisoftu dokázal vytvořit bezplatný klíč, který dokáže odemknout uzamčené soubory zdarma. Odkaz pro stažení tohoto souboru viz zde: Emsisoft Decrypter pro AutoLocky. Před použitím tohoto klíče by měly oběti AutoLocky nejprve provést sken svého počítače pomocí legitimního anti-malwarového softwaru, aby tak došlo k ukončení škodlivých procesů a odstranění nežádoucích souborů malwaru. Následně můžete použít pro znovuzískání přístupu k zašifrovaným souborům uvedený klíč.

Snímek klíče pro dešifrování souborů zamknutých AutoLocky od Fabiana Wosara z Emsisoftu:

autolocky decrypter

Autolocky ransomware vytváří na ploše soubory Info.html a Info.txt:

autolocky ransomware

Text zobrazený v uvedených zprávách:

Locky ransomware
All of your files are encrypted with RSA-2048 and AES-128 ciphers. More information about the RSA and AES can be found here: hxxps://en.wikipedia.org/wiki/RSA (crypto system) hxxps://en.wikipedia.org/wiki/Advanced_Encryption_standard Decrypting of your files is only possible with the following steps How to buy decryption? 1. You can make a payment with BitCoins, there are many methods to get them. 2. You should register BitCoin wallet (simplest online wallet OR some other methods of creating wallet) 3. Purchasing BitCoins - Although it’s not yet easy to buy bitcoins, it’s getting simpler every day.

Odstranění ransomwaru Locky:

Rychlé menu:

Krok 1

Uživatelé Windows XP a Windows 7:Přepněte počítač do Nouzového režimu. V menu Start zadejte Vypnout, zvolte Restartovat a OK. Během zapínaní se počítače stiskněte opakovaně klávesu F8, dokud se nezobrazí menu Pokročilé Možnosti Windows a zvolte Nouzový režim s prací v síti. 

Video ukazující jak zapnout Windows 7 v "Nouzovém režimu se sítí":

Uživatelé Windows 8: Spuštění Windows 8 v Nouzovém režimu s prací v síti - Přejděte na úvodní obrazovku Windows 8, napište Pokročilé, ve výsledcích vyhledávání zvolte Nastavení. Klikněte na pokročilé možnosti spuštění a otevřeném okně "Obecná nastavení počítače" zvolte možnost Pokročilé spuštění. Váš počítač se následně restartuje s menu pokročilými možnostmi spuštění - v těchto klikněte na tlačítko "Poradce při potížích" a následně vyberte "Pokročilé možnosti. Zvolte možnost "Nastavení spuštění". Klikněte na tlačítko "Restartovat". Počítač se následně restartuje, pro spuštění Nouzového režimu s prací v síti následně stiskněte klávesu F5.

Windows 8 Nouzový režim s prací v síti

Video zobrazující spuštění Windows 8 v "Nouzovém režimu s prací v síti":

Krok 2

Přihlaste se na účet, který byl virem Locky napaden. Zapněte internetový prohlížeč a stáhněte věrohodný anti-spyware program. Aktualizujte ho a spusťte úplnou kontrolu systému. Odstraňte všechny položky, které objeví.


▼ Stáhnout odstraňovač Locky virus

Stažením kteréhokoliv softwaru ze seznamu na našich internetových stránkách souhlasíte s našimi zásadami ochrany osobních údajů a smluvními podmínkami. Veškeré námi doporučované produkty byly podrobně testovány a schváleny našimi specialisty, jakožto jedny z nejlepších řešení pro odstraňování internetových hrozeb.

Pokud nemůžete Nouzový režim s prací v síti spustit, zkuste funkci Obnovy systému.

Video zobrazující postup pro odstranění ransomwarového viru prostřednictvím "Nouzového režimu s příkazovým řádkem" a "Obnovy systému":

1. Při spouštění počítače stiskněte několikrát klávesu F8, dokud se nezobrazí menu Windows pokročilého nastavení, následně vyberte Nouzový režim s příkazovým řádkem a stiskněte klávesu ENTER.

Spuštění počítače v Nouzovém režimu s příkazovým řádkem

2. Při spuštění Nouzového režimu s příkazovým řádkem, zadejte: cd restore a stiskněte ENTER.

Obnova systému prostřednictvím příkazu cd restore

3. Následně zadejte: rstrui.exe a stiskněte ENTER.

Obnova systému prostřednictvím příkazu rstrui.exe

4. V otevřeném okně klikněte na "Další".

Obnovení systému - nastavení

5. Zvolte některý z dostupných bodů obnovy a klikněte na "Další" (tímto bude Váš systém obnoven k dřívějšímu datu, kdy ještě nebyl Locky zasažen).

Zvolte bod obnovy

6. V otevřem okně zvolte "Ano".

Spusťte Obnovu systému

Pokud nemůžete systém v Nouzovém režimu s prací v síti spustit (nebo s příkazovým řádkem), spusťte svůj počítač pomocí záchranného disku. Některé varianty ransomwaru totiž blokují též nouzový režim, v důsledku čehož je jeho odstranění ještě o něco obtížnější. K tomuto postupu budete potřebovat v prvé řadě přístup k jinému počítači.

Pro znovuzískání kontroly nad soubory zašifrovanými virem Locky můžete zkusit program zvaný Shadow Explorer. Pro více informací o předmětném programu klikněte zde.

snímek programu shadow explorer

 Pro ochranu Vašeho počítače před šifrovacími viry využívejte důvěryhodné antivirové a anti-spywarové programy. Jako další způsob ochrany můžete využít též programy s názvem HitmanPro.Alert a EasySync CryptoMonitor, které uměle zavádí zásady ochrany určitým druhům souborů v registrech a brání tak jejich infekci viry jako například Tox.)

HitmanPro.Alert CryptoGuard - blokuje veškeré pokusy o šifrování souborů a blokuje tyto bez nutného zásahu uživatele:

aplikace hitmanproalert pro ochranu před ransomwarem

EasySync CryptoMonitor - ukončuje šifrovací procesy a zabraňuje jejich opětovnému spuštění:

aplikace cryptomonitor pro ochranu před ransomwarem

Další dostupné nástroje pro odstranění ransomwaru Locky:

Zdroj: https://www.pcrisk.com/removal-guides/9807-locky-ransomware