Locky Ransomware
Návod na odstranění ransomwaru Locky
Co je to Locky?
Locky je ransomwarový program šířený prostřednictvím infikovaných .doc souborů přiložených k emailovým zprávám. Každý takovýto dokument obsahuje šifrovaný text, který je zároveň makrem. V případě, kdy má uživatel ve Wordu povoleno spouštění maker, dojde ke stažení exe souboru (ransomwaru) a následně k zakódování souborů, resp. změně názvu souborů na 16 místnou alfanumerickou kombinaci a připojení přípony .locky (.zepto). V této souvislosti je proto prakticky nemožné původní soubory identifikovat. Zašifrované soubory jsou zakódovány pomocí algoritmů RSA-2048 a AES-1024, přičemž pro jejich odemčení je vyžadován zvláštní klíč (uložený na serverech kybernetických zločinců), přičemž za jeho získání je požadováno zaplacení výkupného.
Po zakódování souborů Locky vytvoří v každé složce obsahující zakódované soubory zvlášní .txt a _HELP_instructions.html soubory a současně dojde ke změně tapety na ploše. Jak uvedené soubory tak nová tapeta přitom obsahují tutéž zprávu, obsahující informace o dekódování zamčených souborů. Uvádí se, že dešifrování je možné pouze pomocí zvláštního klíče, dostupného za cenu .5 BitCoinu (tj. při provádění našeho průzkumu cca $207.63). Pro možnost pokračovat je uživatel přinucen instalovat prohlížeč Tor a přejít na na ploše, resp. ve zprávě zobrazený odkaz. Uvedená stránka přitom obsahuje platební instrukce. Je třeba poznamenat, že při provádění našeho šetření nebyly známy žádné způsoby, jak zašifrované soubory odemknout, prakticky jedinou možností je tak jejich obnova ze zálohy.
Průzkumy ukazují, že na intenetu existují doslova stovky Locky podobných ransomwarových programů, příkladem lze zmínit například CryptoWall, JobCrypter, UmbreCrypt, TeslaCrypt a DMA-Locker. Jejich společným jmenovatelem je zašifrování souborů a požadování výkupného za jejich odemčení. Prakticky jediným rozdílem mezi nimi je tak výše výkupného a použitý šifrovací algoritmus. Průzkumy rovněž ukazují, že neexistuje žádná záruka, že po zaplacení výkupného ke slibovanému odemčení souborů skutečně dojde. Současně lze poznamenat, že zaplacení výkupného dochází k praktické podpoře nekalé výdělečné činnosti kybernetických zločinců. V této souvislosti se proto zaplacení výkupného či pokus o jejich kontaktování nedoporučuje. Vezměte dále na vědomí, že Locky se šíří zpravidla prostřednictvím infikovaných příloh k emailovým zprávám, pomocí P2P sítí či falešných softwarových aktualizací či trojských koní. Z tohoto důvodu je proto nanejvýš vhodné mít instalované programy vždy aktualizované a při stahování programů z internetu dbát zvýšené pozornosti. Rovněž se vyplatí být nanejvýš opatrný při otevírání emailových příloh u zpráv zasílaných z podezřelých adres, resp. používat legitimní antivirový software.
Níže jsou uvedeny snímky emailových zpráv šířených pro šíření ransomwaru Locky.
Například - předmět zprávy - "ATTN: Invoice J-12345678”, infikovaná příloha - "invoice_J-12345678.doc" (obsahující makra způsobující stažení a instalaci ransomwaru Locky do počítače oběti):
Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!
Níže jsou zobrazeny snímky emailových zpráv obsahujících infikované přílohy způsobující instalaci ransomwaru Locky do počítače oběti:
Snímek souboru _HELP_instructions.html vytvořeného ransomwarem Locky:
Soubor _Locky_recover_instructions.txt (nebo _HELP_instructions.txt):
Text zobrazený na tapetě plochy a v textových souborech Locky:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. hxxp://6dtxxxxm4crv6rr6.tor2web.org/07Bxxx75DC646805
2. hxxp://6dtxxxxgqam4crv6rr6.onion.to/07Bxxx75DC646805
3. hxxp://6dtxxxxgqam4crv6rr6.onion.cab/07Bxxx75DC646805
4. hxxp://6dtxxxxgqam4crv6rr6.onion.link/07Bxxx75DC646805
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxxxxm4crv6rr6.onion/07Bxxx75DC646805
4. Follow the instructions on the site.
!!! Your personal identification ID: 07Bxxx75DC646805 !!!
Snímek plochy počítače nakaženého ransomwarem Locky:
Internetová stránka Locky ransomwaru s pokyny k platbě výkupného za poskytnutí klíče ke slibovanému údajnému odemčení zašifrovaných souborů:
Druhy souborů zasažené Locky ransomwarem:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Stránka s platbou výkupného ('Locky Decryptor'):
Aktualizace 18. dubna 2016 - Byla zveřejněna nová kopie Locky. AutoLocky je nová ransomwarová hrozba využívající programovací jazyk AutoIt. Tato imituje originální ransomware Locky přidělením přípon .Locky zašifrovaným souborům. Pro identifikaci, zda byl Váš systém zasažen ransomwarem AutoLocky si pročtěte zprávu požadující zaplacení výkupného - tato je od původního Locky ransomwaru odlišná. Dobrou zprávou je, že Fabian Wosar z Emsisoftu dokázal vytvořit bezplatný klíč, který dokáže odemknout uzamčené soubory zdarma. Odkaz pro stažení tohoto souboru viz zde: Emsisoft Decrypter pro AutoLocky. Před použitím tohoto klíče by měly oběti AutoLocky nejprve provést sken svého počítače pomocí legitimního anti-malwarového softwaru, aby tak došlo k ukončení škodlivých procesů a odstranění nežádoucích souborů malwaru. Následně můžete použít pro znovuzískání přístupu k zašifrovaným souborům uvedený klíč.
Snímek klíče pro dešifrování souborů zamknutých AutoLocky od Fabiana Wosara z Emsisoftu:
Autolocky ransomware vytváří na ploše soubory Info.html a Info.txt:
Text zobrazený v uvedených zprávách:
Locky ransomware
All of your files are encrypted with RSA-2048 and AES-128 ciphers. More information about the RSA and AES can be found here: hxxps://en.wikipedia.org/wiki/RSA (crypto system) hxxps://en.wikipedia.org/wiki/Advanced_Encryption_standard Decrypting of your files is only possible with the following steps How to buy decryption? 1. You can make a payment with BitCoins, there are many methods to get them. 2. You should register BitCoin wallet (simplest online wallet OR some other methods of creating wallet) 3. Purchasing BitCoins - Although it’s not yet easy to buy bitcoins, it’s getting simpler every day.
Odstranění ransomwaru Locky:
Rychlé menu:
- Co je to Locky?
- KROK 1. Odstranění viru Locky pomocí nouzového režimu s prací v síti.
- KROK 2. Odstranění ransomwaru Locky pomocí obnovy systému.
Krok 1
Uživatelé Windows XP a Windows 7:Přepněte počítač do Nouzového režimu. V menu Start zadejte Vypnout, zvolte Restartovat a OK. Během zapínaní se počítače stiskněte opakovaně klávesu F8, dokud se nezobrazí menu Pokročilé Možnosti Windows a zvolte Nouzový režim s prací v síti.
Video ukazující jak zapnout Windows 7 v "Nouzovém režimu se sítí":
Uživatelé Windows 8: Spuštění Windows 8 v Nouzovém režimu s prací v síti - Přejděte na úvodní obrazovku Windows 8, napište Pokročilé, ve výsledcích vyhledávání zvolte Nastavení. Klikněte na pokročilé možnosti spuštění a otevřeném okně "Obecná nastavení počítače" zvolte možnost Pokročilé spuštění. Váš počítač se následně restartuje s menu pokročilými možnostmi spuštění - v těchto klikněte na tlačítko "Poradce při potížích" a následně vyberte "Pokročilé možnosti. Zvolte možnost "Nastavení spuštění". Klikněte na tlačítko "Restartovat". Počítač se následně restartuje, pro spuštění Nouzového režimu s prací v síti následně stiskněte klávesu F5.
Video zobrazující spuštění Windows 8 v "Nouzovém režimu s prací v síti":
Krok 2
Přihlaste se na účet, který byl virem Locky napaden. Zapněte internetový prohlížeč a stáhněte věrohodný anti-spyware program. Aktualizujte ho a spusťte úplnou kontrolu systému. Odstraňte všechny položky, které objeví.
▼ Stáhnout odstraňovač Locky virus
Stažením kteréhokoliv softwaru ze seznamu na našich internetových stránkách souhlasíte s našimi zásadami ochrany osobních údajů a smluvními podmínkami. Veškeré námi doporučované produkty byly podrobně testovány a schváleny našimi specialisty, jakožto jedny z nejlepších řešení pro odstraňování internetových hrozeb.
Pokud nemůžete Nouzový režim s prací v síti spustit, zkuste funkci Obnovy systému.
Video zobrazující postup pro odstranění ransomwarového viru prostřednictvím "Nouzového režimu s příkazovým řádkem" a "Obnovy systému":
1. Při spouštění počítače stiskněte několikrát klávesu F8, dokud se nezobrazí menu Windows pokročilého nastavení, následně vyberte Nouzový režim s příkazovým řádkem a stiskněte klávesu ENTER.
2. Při spuštění Nouzového režimu s příkazovým řádkem, zadejte: cd restore a stiskněte ENTER.
3. Následně zadejte: rstrui.exe a stiskněte ENTER.
4. V otevřeném okně klikněte na "Další".
5. Zvolte některý z dostupných bodů obnovy a klikněte na "Další" (tímto bude Váš systém obnoven k dřívějšímu datu, kdy ještě nebyl Locky zasažen).
6. V otevřem okně zvolte "Ano".
Pokud nemůžete systém v Nouzovém režimu s prací v síti spustit (nebo s příkazovým řádkem), spusťte svůj počítač pomocí záchranného disku. Některé varianty ransomwaru totiž blokují též nouzový režim, v důsledku čehož je jeho odstranění ještě o něco obtížnější. K tomuto postupu budete potřebovat v prvé řadě přístup k jinému počítači.
Pro znovuzískání kontroly nad soubory zašifrovanými virem Locky můžete zkusit program zvaný Shadow Explorer. Pro více informací o předmětném programu klikněte zde.
Pro ochranu Vašeho počítače před šifrovacími viry využívejte důvěryhodné antivirové a anti-spywarové programy. Jako další způsob ochrany můžete využít též programy s názvem HitmanPro.Alert a EasySync CryptoMonitor, které uměle zavádí zásady ochrany určitým druhům souborů v registrech a brání tak jejich infekci viry jako například Tox.)
HitmanPro.Alert CryptoGuard - blokuje veškeré pokusy o šifrování souborů a blokuje tyto bez nutného zásahu uživatele:
EasySync CryptoMonitor - ukončuje šifrovací procesy a zabraňuje jejich opětovnému spuštění:
Další dostupné nástroje pro odstranění ransomwaru Locky:
Zdroj: https://www.pcrisk.com/removal-guides/9807-locky-ransomware
▼ Přidat komentář