Guiden

.locky files virus: Locky ransomware dekryptering og fjerning

En ny type ransomware har angrepet datamaskiner i stor skala i løpet av de siste dagene. Mens flertallet av de infiserte brukerne for tiden er i Tyskland, synes angrepet å utvide seg med stor hurtighet. Det er på dette tidspunktet uklart hvilke cyberkriminelle det er som er ansvarlige for disse angrepene, men trojanerens oppførsel tyder på den verste formen for digital utpressing. Det som skjer er at ofrenes personlige filer bli kryptert, og navnene deres blir til en uforståelig sekvens av 32 tall og tegn etterfulgt av filendelsen .locky. Det utsatte operativsystemet identifiserer disse elementene som LOCKY-filer som ikke kan åpnes uansett hvilken programvare brukeren anvender.

.locky filer
.locky filer

Dette angrepet karakteriseres også ved en rekke andre attributter enn den motbydelige filforvrengningen. Ransomwaren endrer berørte brukeres skrivebordsbakgrunner til en advarsel med en tekst som gjentas i filer som heter _Locky_recover_instructions.txt. Det er mange av dem fordi det før nevnte .TXT-dokumentet finnes i hver enkelt mappe som inneholder låste elementer som pleide å være offerets personlige data. Disse er i hovedsak instruksjoner for betaling av løsepenger, de forteller hva som har skjedd med filene og inneholder instruksjoner om gjenopprettingsalternativer .
Meldingen sier spesielt:

«!!! Viktig informasjon !!!! Alle filene dine er kryptert med RSA-2048 og AES-128 koder. Dekryptering av filene dine er bare mulig med den private nøkkelen og et dekrypteringsprogram som er på vår hemmelige server.»

Dette betyr i et nøtteskall at .locky filendelsesviruset inneholder asymmetrisk kryptografi for å kryptere filinnholdet og benytter også symmetrisk koding for å kode filnavn riktig.

Locky_recover_instructions.txt
Locky_recover_instructions.txt

Resultatet er at ofrene verken kan åpne sine bilder, dokumenter eller videoer, og heller ikke selv bestemme hvilken oppføring som står for hvilken fil på harddisken. På dette punktet anbefaler utpresserne en «mirakelkur», som hevdes å være i stand til å dekode alt mot et gebyr. Den kalles Locky Decrypter. For å kunne bruke dette verktøyet må utsatte personer besøke en Tor gateway som er spesifisert i _Locky_recover_instructions.txt filen og sende 0,5 BTC til en Bitcoin-adresse oppgitt på siden. Bruken av The Onion Router-teknologi og betalingsmåte via cryptocurrency er forholdsreglende utpresserne benytter for å være anonyme og unndra seg rettsforfølgelse. De fleste av disse aktørene klarer dessverre å holde seg på frifot og stadig lansere nye utgaver av ransomware.

Locky Decrypter
Locky Decrypter

Utbredelsen av .locky-viruset er avhengig av sosial spredningssvindel. Før maskinene deres blir infisert har de fleste fått skadelige e-postmeldinger med tittelen «Attn: Invoice J-68522931» (de 9 sifrene kan variere). Disse e-postmeldingene er tilsynelatende fakturaer fra General Mills, men det er de ikke. Det vedlagte Microsoft Word-dokumentet er objektet som utfører ransomwaren så snart intetanende brukere åpner det. Exploit kits, som vanligvis utgjør et mer sofistikert modus for infisering, er for tiden ikke involvert i .locky-kampanjen.
Det er ikke noen god idé å betale løsepenger og kjøpe Locky Decrypter-programmet. Dette er hva de nettkriminelle insisterer på, men det er absolutt ikke i berørte brukeres interesse. Siden denne ransomwaren kan mislykkes i å deaktivere Volume Shadow kopitjenesten på maskinen, kan det være fornuftig å bruke et par smarte teknikker for å gjenopprette de krypterte dataene.

Fjern *.locky filendelsesviruset med automatisk renseverktøy

Dette er en eksklusivt effektiv metode for å fjerne malware generelt og ransomware-trusler spesielt. Bruken av en anerkjent sikkerhetsprogrampakke sikrer grundig detektering av alle viruskomponenter og fullstendig fjerning av disse med et enkelt klikk. Vær likevel oppmerksom på at fjerning av denne infeksjonen og gjenoppretting av filene dine er to forskjellige ting, men behovet for å fjerne virusinfeksjonen er udiskutabelt ettersom det har blitt rapportert at det fremmer andre trojanere mens det er i aktivitet.

  1. Last ned og installer renseprogram for fjerning av .locky filendelsesvirus. Start programmet og klikk knappen Start Computer Scan.
  2. Programmet vil vise skanneresultatene og melde om funn av den detekterte malwaren. Velg alternativet Fix Threats for å fjerne alle infeksjonene som blir funnet. Dette vil resultere i fullstendig utryddelse av det aktuelle viruset.

Få krypterte *.locky-filer tilbake

Som nevnt bruker bruker malwaren .locky filendelse sterk kryptering for å gjøre filer utilgjengelige. Det finnes derfor ingen tryllestav som kan gjenopprette alle de krypterte dataene i en håndvending, unntatt selvfølgelig å betale de utenkelige løsepengene. Det finnes imidlertid teknikker som kan være til hjelp for å gjenopprette de viktige tingene – les mer nedenfor om hva de er.

Program for automatisk filgjenoppretting

Det er ganske interessant å vite at infeksjonen sletter originalfilene i ukryptert form. Det er kopiene som blir utsatt for ransomwarens krypteringsbehandling. Derfor kan verktøy som Data Recovery Pro gjenopprette slettede objekter selv om de ble fjernet på en sikker måte. Denne løsningen er definitivt verdt å prøve ettersom den har vist seg å være ganske effektiv.
Data Recovery Pro

Skyggevolumkopier

Denne tilnærmingen bygger på den opprinnelige Windows sikkerhetslagringen av filer på datamaskinen som utføres ved hvert gjenopprettingspunkt. Det er en viktig forutsetning for denne metoden: den fungerer hvis Systemgjenoppretting-funksjonen ble slått på før virusinfiseringen. Hvis det ble gjort endringer i en fil etter siste gjenopprettingspunkt, vil endringene ikke bli reflektert i den gjenopprettede filversjonen.

  • Bruk funksjonen Tidligere versjoner

    Dialogboksen Egenskaper for tilfeldige filer har en fane som heter Tidligere versjoner. Det er der de sikkerhetskopierte versjonene vises og kan gjenopprettes fra. Høyreklikke på en fil, gå til Egenskaper, klikk den ovennevnte fanen og velg alternativet Kopier eller Gjenopprett , avhengig av plasseringen du vil at den skal gjenopprettes til.
    Tidligere versjoner

  • Bruk ShadowExplorer

    Prosessen beskrevet ovenfor kan automatiseres med et program som heter ShadowExplorer. Det gjør i utgangspunktet det samme (henter Shadow Volume- eksemplarer), men på en mer praktisk måte. Last ned og installer programmet, kjør det og gå til filer og mapper hvis tidligere versjoner du ønsker å gjenopprette. For å gjøre dette høyreklikker du på oppføringene og velger Export -funksjonen.
    ShadowExplorer

Sikkerhetskopier

Blant alle alternativene som ikke er ransomware-relatert, er dette et av de beste. I tilfelle du sikkerhetskopierte dataene dine til en ekstern server før PCen din ble infisert av ransomware, er gjenoppretting av filer kryptert med denne ransomwaren like enkelt som å logge inn på det respektive grensesnittet, velge de riktige filene og starte gjenopprettingstransaksjonen korrekt. Før du gjør det må du forvisse deg om at ransomwaren er fullstendig fjernet fra datamaskinen din.

Se etter mulige rester av .locky filendelsesviruset

Hvis du velger den manuelle renseteknikken, kan enkelte fragmenter av ransomwaren fortsatt finnes som maskerte objekter i operativsystemet eller registeroppføringerene. For å sikre at det ikke er noen skadelige komponenter igjen av trusselen, bør du få datamaskinen skannet med en pålitelig malware sikkerhetspakke.

Comment here