Locker-virus
Locker-kiristysohjelman poistaminen
Mikä Locker on?
Locker on kiristysvirus, joka tunkeutuu käyttäjien tietokoneille erilaisten internetistä ladattujen tiedostojen mukana – näitä ovat muun muassa tekaistut Flash Playerit ja kräkätyt peli (kuten TeamExtreme Minecraft). Onnistuneen asentumisen jälkeen tämä haittaohjelma salaa käyttäjän koneella olevat tiedostot ja vaatii 0,1 BTC:n (bitcoineja) lunnaiden maksamista 72 tunnin sisään salauksen poistamiseksi. Summa nousee 1,0 BTC:hen, mikäli uhri ei maksa sitä annetussa ajassa. Locker-kiristysohjelma salaa dokumentti- (esim. .doc, .ppt, .docx) ja kuvatiedostot (.psd, raw, .jpg). Vaikka salaus–kiristysohjelmat eivät olekaan uusia (aiemmin laajalti levinneitä ovat muun muassa cryptowall, ctb-locker ja cryptolocker), on tämä variantti erilainen, sillä verkkorikolliset asettivat sen aktivoitumaan klo 00.00 25.05.2015. Tätä ennen uhrit eivät edes tienneet Locker-kiristysohjelman asentuneen tietokoneelleen. Näin verkkorikolliset onnistuivat piilottamaan haittaohjelmansa viruksentorjuntaohjelmilta ja haittaohjelmatutkijoilta viime hetkeen asti, jolloin haittaohjelma aktivoitui monien eri uhrien tietokoneilla.
Tällainen jakelutapa viivyttää haittaohjelmatutkijoiden ja viruksentorjuntaohjelmien päivityksiä viime hetkeen asti, jolloin osa uhreista on jo ehtinyt maksaa vaaditun summan saadakseen tiedostonsa palautettua. Mikä pahinta, jotkin Locker-kiristysohjelman versiot poistavat palautukseen käytettävät tiedostojen kopiot, jolloin tiedostoja on mahdotonta palauttaa. Locker-kiristysohjelman nimi vaihtelee versioittain. Tutkimuksen aikaan liikkeellä olivat versiot Locker v1.7, Locker V2.16, Locker v2.60, Locker v3.5.3, Locker v.3.49 ja Locker V5.52. Versioiden numerointi vaikuttaa satunnaiselta, eikä ole varmaa, käyttävätkö verkkorikolliset eri numerointia eri uhreille.
Tämän artikkelin kirjoittamisen aikaan mikään työkalu ei kyennyt poistamaan tiedostojen lukitusta. Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa Locker-ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Ennen Locker-ransomwaren poistamista on suositeltavaa tehdä varmuuskopiot salatuista tiedostoista sekä seuraavista kansioista: %PROGRAMDATA%\Digger, %PROGRAMDATA%\rkcl, %PROGRAMDATA%\tor, %PROGRAMDATA%\steg. Lisäksi kannattaa ottaa talteen Lockerin maksuvälilehdellä oleva ainutlaatuisen bitcoin-lompakko-osoite. Näistä tiedoista voi olla hyötyä, mikäli haittaohjelmatutkijat onnistuvat kehittämään työkalun, joka kykenee purkamaan Lockerin salaamien tiedostojen salauksen. Lockerin tyyliset kiristysohjelmistotartunnat ovat erinomainen syy tallennettujen tietojen säännölliseen varmuuskopiointiin. Huomaa, että kiristyshaittaohjelman vaatiman maksun maksaminen vastaa rahan lähettämistä suoraan verkkorikollisille – se tukee rikollista toimintatapaa, eikä tiedostojen salauksen purkamisesta ole silti mitään takeita. Vältä tällaiset ransomware-tartunnat olemalla varovainen avatessasi sähköpostiviestejä, ladatessasi tiedostoja P2P-verkoista jne. Käytä aina luotettavia viruksen- ja haittaohjelmientorjuntaohjelmia.
Lockerin Information-välilehti (tietoja):
Välilehdessä oleva englanninkielinen teksti:
All your personal files on this computer are locked and encrypted by Locker. The encrypting has been done by professional software and your files such as: photos, videos, and crypto currency wallets are not damaged but just not readable for now. You can find the complete list with all your encrypted files in the files tab. The encrypted files can only be unlocked by a unique 2048-bit RSA private key that is safely stored on our server till [DATE]. If the key is not obtained before that moment it will be destroyed and you will not be able to open your files ever again. Obtaining your private unique key is easy and can be done clicking on the payment tab and pay a small amount of 0.1 BTC to the wallet address that was created for you. If the payment is confirmed the decryption key will be sent to your computer and the Locker software will automatically start the decrypting process. We have absolutely not interest in keeping your files encrypted forever. You can still safely use your computer, no new files will be encrypted and no malware will be installed. When the files are encrypted Locker will automatically uninstall itself.
Lockerin Payment-välilehti (maksaminen):
Välilehdessä oleva englanninkielinen teksti:
Bitcoins is a anonymous online payment system for more information see bitcoin.com. To obtain your decryption key you have to send 0.1 BTC to the bitcoin address listed below. We recommend you to send the bitcoins to our wallet immediately and not store them in a local wallet since local wallets are encrypted by Locker. Payment confirmation usually takes about 1 hour. When we receive the payment the decryption key will automatically be send to the Locker software and start the decryption process. Warning any attempt to remove damage or even investigate the Locker software will lead to immediate destrution of your private key on our server!
Kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan Lockerin tekemän salauksen ilman lunnasrahan maksamista (yritä palauttaa tiedostosi tilannevedoksista). Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Päivitämme tätä artikkelia heti, kun tiedostojen salauksen purkamisesta on saatavilla lisätietoa.
Locker-kiristysohjelman poistaminen:
Pikavalikko:
- Mikä Locker on?
- VAIHE 1. Locker-kiristysohjelman poistaminen Vikasietotila ja verkkoyhteydet -tilassa.
- VAIHE 2. Locker-kiristysohjelman poistaminen järjestelmän palauttamisen avulla.
1. vaihe
Windows XP ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.
Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:
Windows 8 -käyttäjät: Mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Napsauta "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina "5" käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.
Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:
2. vaihe
Kirjaudu sisään tilille, johon Locker on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.
▼ Lataa Locker ransomware poistotyökalu
Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.
Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.
Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:
1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.
2. Kun komentorivitila on latautunut, kirjoita siihen "cd restore" ja paina enteriä.
3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.
4. Napsauta avautuvassa ikkunassa "Seuraava".
5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa "Seuraava" (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin Locker ei ollut vielä asentunut tietokoneelle).
6. Valitse avautuvassa ikkunassa "Kyllä".
7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet Locker-tiedostot.
Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin Lockerin versiot poistavat tiedostojen tilannevedoskopiot, joten menetelmä ei välttämättä toimi kaikilla tietokoneilla.
Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.
Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.
Voit kokeilla myös Shadow Explorer -nimistä ohjelmaa saadaksesi Lockerin salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.
Suojaa tietokoneesi salausmenetelmiä käyttäviltä ransomwareilta käyttämällä hyvämaineisia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana käyttäjät voivat ladata HitmanPro.Alert- ja EasySync CryptoMonitor -nimiset ohjelmat, jotka lisäävät rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja Lockerin ja muiden haittaohjelmien toiminnan estämiseksi.
HitmanPro.Alert CryptoGuard tunnistaa tiedostojen salausyritykset ja estää ne ilman, että käyttäjän tarvitsee tehdä mitään:
EasySync CryptoMonitor pysäyttää salaustartunnan ja estää sen suorittamisen uudelleen:
Muita työkaluja, jotka kykenevät poistamaan Locker-kiristyshaittaohjelman:
Lähde: https://www.pcrisk.com/removal-guides/9037-locker-virus
▼ Näytä kommentit