Locky-kiristysohjelma

Muita nimiä: .locky (.zepto) virus
Tyyppi: Ransomware
Leviäminen: Matala
Riskitaso: Vakava

Locky-kiristysohjelman poistaminen

Mikä Locky on?

Locky on kiristyshaittaohjelma, jota levitetään haitallisten roskapostiviesteihin liitettyjen .doc-tiedostojen avulla. Jokainen Word-asiakirja sisältää sekavaa tekstiä, mikä vaikuttaa makroilta. Kun käyttäjä ottaa käyttöön Word-ohjelman makrot, suoritettava tiedosto (kiristysohjelma) ladataan. Se salaa monenlaisia tiedostoja. Huomaa, että Locky muuttaa kaikkien tiedostojen nimeksi ainutlaatuisen 16 kirjaimen ja numeron yhdistelmän, jossa on .locky (.zepto)-pääte. Näin ollen alkuperäisten tiedostojen tunnistaminen on käytännössä mahdotonta. Kaikki salaukset on toteutettu RSA-2048- ja AES-1024-algoritmeilä, jolloin salauksen purkaminen edellyttää yksityistä avainta (joka on tallennettu verkkorikollisten hallinnoimalle etäpalvelimelle). Salauksen poistamiseksi pitää maksaa lunnasmaksu.

Tiedostojen salaamisen jälkeen Locky luo lisäksi .txt-tiedoston ja _HELP_instructions.html-tiedoston kuhunkin kansioon, jossa on salattuja tiedostoja. Kaiken lisäksi kiristysohjelma vaihtaa työpöydän taustakuvan. Sekä tekstitiedostossa että taustakuvassa on sama viesti, joka ilmoittaa käyttäjälle salauksesta. Siinä todetaan, että tiedostojen salauksen voi poistaa vain rikollisten kehittämällä purkuohjelmalla, joka maksaa 0.5 BitCoinia (tutkimuksen aikaan 0.5 BTC:n summa vastasi 207,63 dollaria). Jatkaminen edellyttää Tor-selaimen asentamista ja tekstitiedostoissa/taustakuvassa annetun linkin seuraamista. Sivustolla on vaiheittaiset maksuohjeet. Locky poistaa kaikki tiedostojen tilannevedokset. Kirjoittamishetkellä mikään työkalu ei kyennyt purkamaan Lockyn salaamien tiedostojen salausta – ainoa ratkaisu on palauttaa tiedostot varmuuskopioista.

Locky-salauksen purkuohjeet

Tutkimustulokset osoittavat, että olemassa on satoja kiristyshaittaohjelmia, jotka ovat identtisiä Lockyn kanssa, kuten Cryptowall, JobCrypter, UmbreCrypt, TeslaCrypt ja DMA-Locker.

Ne kaikki toimivat identtisesti: salaavat tiedostoja ja vaativat lunnaita. Ainoa ero on lunnasrahan suuruus ja salaamiseen käytetty algoritmi. Tutkimuksen mukaan salauksen purkamisesta ei myöskään ole mitään takeita, vaikka maksaisit lunnasvaatimukset. Maksaminen ainoastaan tukee verkkorikollisten toimintaa. Älä siis ikinä maksa lunnaita tai ole yhteydessä rikollisiin. Muista myös, että Lockyn tyyppiset haittaohjelmat toimitetaan usein ohjelmien valepäivitysten, P2P-verkkojen, sähköpostin liitetiedostojen ja troijalaisten avulla. Siksi asennettujen ohjelmien päivitettyinä pitäminen ja latausten tarkistaminen onkin äärimmäisen tärkeää. Ole varovainen avatessasi epäilyttävistä osoitteista lähetettyjä liitetiedostoja ja käytä kunnollista vakoiluohjelman- ja viruksentorjuntaohjelmaa.

Alla on kuvakaappaus sähköpostiviestistä, jota käytetään Locky-kiristysohjelman levitykseen.

Esimerkiksi – viestin otsikko ”ATTN: Invoice J-12345678”, vaarallinen liitetiedosto – ”invoice_J-12345678.doc” (sisältää makroja, jotka lataavat ja asentavat Locky-kiristysohjelman uhrin tietokoneeseen):

Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!

Tässä on muutamia kuvakaappauksia roskapostiviesteistä, joissa on Lockyn asennukseen käytettäviä vaarallisia liitetiedostoja:

lockyn levitykseen käytettävä roskaposti esim. 4 lockyn levitykseen käytettävä roskaposti esim. 3 lockyn levitykseen käytettävä roskaposti esim. 2 Locky-kiristysohjelmaa levittävä sähköpostin liitetiedosto

Kuvakaappaus Lockyn _HELP_instructions.html-tiedostosta:

locky-kiristysohjelman _HELP_instructions.html-tiedosto

_Locky_recover_instructions.txt (tai _HELP_instructions.txt) -tekstitiedosto:

Tekstitiedosto, jossa on lunnasrahojen maksuohjeet

Työpöydän taustakuvassa ja Lockyn .txt-tiedostossa oleva teksti:

!!! IMPORTANT INFORMATION !!!!


All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard


Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. hxxp://6dtxxxxm4crv6rr6.tor2web.org/07Bxxx75DC646805
2. hxxp://6dtxxxxgqam4crv6rr6.onion.to/07Bxxx75DC646805
3. hxxp://6dtxxxxgqam4crv6rr6.onion.cab/07Bxxx75DC646805
4. hxxp://6dtxxxxgqam4crv6rr6.onion.link/07Bxxx75DC646805


If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxxxxm4crv6rr6.onion/07Bxxx75DC646805
4. Follow the instructions on the site.
!!! Your personal identification ID: 07Bxxx75DC646805 !!!

Kuvakaappaus koneesta, johon Locky-kiristysohjelma on tarttunut:

locky-kiristysohjelma uhrin tietokoneella

Locky-verkkosivusto, jossa uhreja neuvotaan maksamaan lunnaat, jonka jälkeen he saavat Locky Decrypter -ohjelman, jolla rikollisten mukaan tiedostojen palauttaminen onnistuu:

Sivusto, joka myy Locky decryptor -ohjelmaa

Locky-kiristysohjelman salaamat tiedostotyypit:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Lunnaiden maksusivu (Locky Decryptor):

locky decryptor -maksusivu

Päivitys 18. huhtikuuta 2016 - uusi Lockya kopioiva kiristysohjelma julkaistu. AutoLocky on uusi verkkorikollisten julkaisema kiristysohjelma, joka on tehty AutoIt-ohjelmointikielellä. Se yrittää matkia alkuperäistä Lockya määrittämällä salattuihin tiedostoihin .Locky-päätteen. Voit selvittää, onko tietokoneessasi AutoLocky-kiristysohjelma, katsomalla lunnaiden vaatimusviestiä – se eroaa alkuperäisen Lockyn viestistä. AutoLockyn uhreille hyvä uutinen on se, että Emsisoftin Fabian Wosar fon luonut ilmaisen purkuohjelman, joka pystyy poistamaan salauksen tiedostoista maksutta. Latauslinkki - Emsisoft Decrypter for AutoLocky.

Ennen työkalun käyttämistä AutoLockyn uhrien tulisi skannata tietokoneensa luotettavalla virustorjuntaohjelmistolla poistaakseen haittaohjelman prosessit ja muut haittaohjelmatiedostot. Käytä sitten purkuohjelmaa ja palauta salatut tiedot.

Kuvakaappaus Emsisoftin Fabian Wosarin AutoLocky-purkuohjelmasta:

autolocky-purkuohjelma

Autolocky-kiristysohjelma luo käyttäjän työpöydälle Info.html- ja Info.txt-tiedostot:

autolocky ransomware

Tiedostoissa oleva teksti:

Locky ransomware
All of your files are encrypted with RSA-2048 and AES-128 ciphers. More information about the RSA and AES can be found here: hxxps://en.wikipedia.org/wiki/RSA (crypto system) hxxps://en.wikipedia.org/wiki/Advanced_Encryption_standard Decrypting of your files is only possible with the following steps How to buy decryption? 1. You can make a payment with BitCoins, there are many methods to get them. 2. You should register BitCoin wallet (simplest online wallet OR some other methods of creating wallet) 3. Purchasing BitCoins - Although it’s not yet easy to buy bitcoins, it’s getting simpler every day.

Locky-kiristysohjelman poistaminen:

Pikavalikko:

1. vaihe

Windows XP- ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.

Vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

Windows 8 -käyttäjät: Käynnistä Windows 8 Vikasietotila ja verkkoyhteydet -tilaan – mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Napsauta "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina F5 käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.

Windows 8 vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

2. vaihe

Kirjaudu sisään tilille, johon Locky-virus on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.


▼ Lataa .locky (.zepto) virus poistotyökalu

Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.

Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:

1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.

Käynnistä tietokoneesi Vikasietotila ja komentorivi -tilaan

2. Kun komentorivitila on latautunut, kirjoita siihen cd restore ja paina enteriä.

järjestelmän palautus komentorivin cd restore -komennolla

3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.

järjestelmän palautus komentorivin rstrui.exe-komennolla

4. Napsauta avautuvassa ikkunassa "Seuraava".

järjestelmän tiedostojen ja asetusten palautus

5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa "Seuraava" (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin Locky ei ollut vielä asentunut tietokoneeseen).

valitse palautuspiste

6. Valitse avautuvassa ikkunassa "Kyllä".

suorita järjestelmän palautus

7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet Locky-tiedostot.

Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin Lockyn versiot poistavat tiedostojen tilannevedoskopiot, joten menetelmä ei välttämättä toimi kaikilla tietokoneilla.

Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.

Lockyn salaamien tiedostojen palauttaminen

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.

Voit kokeilla myös Shadow Explorer -nimistä ohjelmaa saadaksesi Lockyn salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.

shadow explorer -kuvakaappaus

 Suojaa tietokoneesi salausmenetelmiä käyttäviltä ransomwareilta käyttämällä hyvämaineisia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana käyttäjät voivat ladata HitmanPro.Alert- ja EasySync CryptoMonitor -nimiset ohjelmat, jotka lisäävät rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja Lockyn ja vastaavien haittaohjelmien toiminnan estämiseksi.

HitmanPro.Alert CryptoGuard tunnistaa tiedostojen salausyritykset ja estää ne ilman, että käyttäjän tarvitsee tehdä mitään:

hitmanproalert-sovellus estää kiristysohjelmat

EasySync CryptoMonitor pysäyttää salaustartunnan ja estää sen suorittamisen uudelleen:

cryptomonitor-sovellus estää kiristysohjelmat

Muita työkaluja, jotka kykenevät poistamaan Locky-kiristyshaittaohjelman:

Lähde: https://www.pcrisk.com/removal-guides/9807-locky-ransomware