FacebookTwitterLinkedIn

Locker-virus

Muita nimiä: Locker ransomware
Tyyppi: Ransomware
Riskitaso: Vakava

Locker-kiristysohjelman poistaminen

Mikä Locker on?

Locker on kiristysvirus, joka tunkeutuu käyttäjien tietokoneille erilaisten internetistä ladattujen tiedostojen mukana – näitä ovat muun muassa tekaistut Flash Playerit ja kräkätyt peli (kuten TeamExtreme Minecraft). Onnistuneen asentumisen jälkeen tämä haittaohjelma salaa käyttäjän koneella olevat tiedostot ja vaatii 0,1 BTC:n (bitcoineja) lunnaiden maksamista 72 tunnin sisään salauksen poistamiseksi. Summa nousee 1,0 BTC:hen, mikäli uhri ei maksa sitä annetussa ajassa. Locker-kiristysohjelma salaa dokumentti- (esim. .doc, .ppt, .docx) ja kuvatiedostot (.psd, raw, .jpg). Vaikka salaus–kiristysohjelmat eivät olekaan uusia (aiemmin laajalti levinneitä ovat muun muassa cryptowall, ctb-locker ja cryptolocker), on tämä variantti erilainen, sillä verkkorikolliset asettivat sen aktivoitumaan klo 00.00 25.05.2015. Tätä ennen uhrit eivät edes tienneet Locker-kiristysohjelman asentuneen tietokoneelleen. Näin verkkorikolliset onnistuivat piilottamaan haittaohjelmansa viruksentorjuntaohjelmilta ja haittaohjelmatutkijoilta viime hetkeen asti, jolloin haittaohjelma aktivoitui monien eri uhrien tietokoneilla.

Tällainen jakelutapa viivyttää haittaohjelmatutkijoiden ja viruksentorjuntaohjelmien päivityksiä viime hetkeen asti, jolloin osa uhreista on jo ehtinyt maksaa vaaditun summan saadakseen tiedostonsa palautettua. Mikä pahinta, jotkin Locker-kiristysohjelman versiot poistavat palautukseen käytettävät tiedostojen kopiot, jolloin tiedostoja on mahdotonta palauttaa. Locker-kiristysohjelman nimi vaihtelee versioittain. Tutkimuksen aikaan liikkeellä olivat versiot Locker v1.7, Locker V2.16, Locker v2.60, Locker v3.5.3, Locker v.3.49 ja Locker V5.52. Versioiden numerointi vaikuttaa satunnaiselta, eikä ole varmaa, käyttävätkö verkkorikolliset eri numerointia eri uhreille.

locker-kiristysohjelmavirus

Tämän artikkelin kirjoittamisen aikaan mikään työkalu ei kyennyt poistamaan tiedostojen lukitusta. Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa Locker-ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Ennen Locker-ransomwaren poistamista on suositeltavaa tehdä varmuuskopiot salatuista tiedostoista sekä seuraavista kansioista: %PROGRAMDATA%\Digger, %PROGRAMDATA%\rkcl, %PROGRAMDATA%\tor, %PROGRAMDATA%\steg. Lisäksi kannattaa ottaa talteen Lockerin maksuvälilehdellä oleva ainutlaatuisen bitcoin-lompakko-osoite. Näistä tiedoista voi olla hyötyä, mikäli haittaohjelmatutkijat onnistuvat kehittämään työkalun, joka kykenee purkamaan Lockerin salaamien tiedostojen salauksen. Lockerin tyyliset kiristysohjelmistotartunnat ovat erinomainen syy tallennettujen tietojen säännölliseen varmuuskopiointiin. Huomaa, että kiristyshaittaohjelman vaatiman maksun maksaminen vastaa rahan lähettämistä suoraan verkkorikollisille – se tukee rikollista toimintatapaa, eikä tiedostojen salauksen purkamisesta ole silti mitään takeita. Vältä tällaiset ransomware-tartunnat olemalla varovainen avatessasi sähköpostiviestejä, ladatessasi tiedostoja P2P-verkoista jne. Käytä aina luotettavia viruksen- ja haittaohjelmientorjuntaohjelmia.

Lockerin Information-välilehti (tietoja):

locker-viruksen tiedot-välilehti

Välilehdessä oleva englanninkielinen teksti:

All your personal files on this computer are locked and encrypted by Locker. The encrypting has been done by professional software and your files such as: photos, videos, and crypto currency wallets are not damaged but just not readable for now. You can find the complete list with all your encrypted files in the files tab. The encrypted files can only be unlocked by a unique 2048-bit RSA private key that is safely stored on our server till [DATE]. If the key is not obtained before that moment it will be destroyed and you will not be able to open your files ever again. Obtaining your private unique key is easy and can be done clicking on the payment tab and pay a small amount of 0.1 BTC to the wallet address that was created for you. If the payment is confirmed the decryption key will be sent to your computer and the Locker software will automatically start the decrypting process. We have absolutely not interest in keeping your files encrypted forever. You can still safely use your computer, no new files will be encrypted and no malware will be installed. When the files are encrypted Locker will automatically uninstall itself.

Lockerin Payment-välilehti (maksaminen):

locker-viruksen maksaminen-välilehti

Välilehdessä oleva englanninkielinen teksti:

Bitcoins is a anonymous online payment system for more information see bitcoin.com. To obtain your decryption key you have to send 0.1 BTC to the bitcoin address listed below. We recommend you to send the bitcoins to our wallet immediately and not store them in a local wallet since local wallets are encrypted by Locker. Payment confirmation usually takes about 1 hour. When we receive the payment the decryption key will automatically be send to the Locker software and start the decryption process. Warning any attempt to remove damage or even investigate the Locker software will lead to immediate destrution of your private key on our server!

Kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan Lockerin tekemän salauksen ilman lunnasrahan maksamista (yritä palauttaa tiedostosi tilannevedoksista). Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Päivitämme tätä artikkelia heti, kun tiedostojen salauksen purkamisesta on saatavilla lisätietoa.

Locker-kiristysohjelman poistaminen:

Pikavalikko:

1. vaihe

Windows XP ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.

Vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

Windows 8 -käyttäjät: Mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Napsauta "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina "5" käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.

Windows 8 vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

2. vaihe

Kirjaudu sisään tilille, johon Locker on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.

▼ Lataa Locker ransomware poistotyökalu

Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.

Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:

1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.

Käynnistä tietokoneesi Vikasietotila ja komentorivi -tilaan

2. Kun komentorivitila on latautunut, kirjoita siihen "cd restore" ja paina enteriä.

järjestelmän palautus komentorivin cd restore -komennolla

3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.

järjestelmän palautus komentorivin rstrui.exe-komennolla

4. Napsauta avautuvassa ikkunassa "Seuraava".

järjestelmän tiedostojen ja asetusten palautus

5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa "Seuraava" (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin Locker ei ollut vielä asentunut tietokoneelle).

valitse palautuspiste

6. Valitse avautuvassa ikkunassa "Kyllä".

suorita järjestelmän palautus

7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet Locker-tiedostot.

Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin Lockerin versiot poistavat tiedostojen tilannevedoskopiot, joten menetelmä ei välttämättä toimi kaikilla tietokoneilla.

Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.

CryptoDefensen salaamien tiedostojen palauttaminen

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.

Voit kokeilla myös Shadow Explorer -nimistä ohjelmaa saadaksesi Lockerin salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.

shadow explorer -kuvakaappaus

Suojaa tietokoneesi salausmenetelmiä käyttäviltä ransomwareilta käyttämällä hyvämaineisia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana käyttäjät voivat ladata HitmanPro.Alert- ja EasySync CryptoMonitor -nimiset ohjelmat, jotka lisäävät rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja Lockerin ja muiden haittaohjelmien toiminnan estämiseksi.

HitmanPro.Alert CryptoGuard tunnistaa tiedostojen salausyritykset ja estää ne ilman, että käyttäjän tarvitsee tehdä mitään:

hitmanproalert-sovellus estää kiristysohjelmat

EasySync CryptoMonitor pysäyttää salaustartunnan ja estää sen suorittamisen uudelleen:

cryptomonitor-sovellus estää kiristysohjelmat

Muita työkaluja, jotka kykenevät poistamaan Locker-kiristyshaittaohjelman:

Lähde: https://www.pcrisk.com/removal-guides/9037-locker-virus

▼ Näytä kommentit

Haittaohjelmien poistoon tarkoitetut oppaamme ovat ilmaisia, mutta voit halutessasi tukea toimintaamme tekemällä lahjoituksen.

QR-koodi
Locker ransomware QR-koodi
Skannaa tämä QR-koodi saadaksesi helposti auki Locker ransomware poisto-oppaan mobiililaitteellasi.