Remove Osiris Virus (Locky Ransomware) from Your Computer
Innholdsfortegnelse:
Locky er navnet på en Ransomware som har utviklet seg sent, takket være den konstante algoritmoppgraderingen av sine forfattere. Locky, som foreslått av navnet, omdøper alle viktige filene på den infiserte PCen, og gir dem en forlengelse.locky og krever løsepenge for dekrypteringsnøklene.
Locky ransomware - Evolution
Ransomware har vokst i en foruroligende hastighet i 2016. Den bruker e-post og sosialteknologi for å komme inn i datasystemene dine. De fleste e-postmeldinger med skadelige dokumenter vedlagt inneholdt den populære ransomware-stammen Locky. Blant milliarder meldinger som brukte skadelige dokumentvedlegg, omfattet 97% Locky ransomware, det er en alarmerende 64% økning fra første kvartal 2016 da den ble oppdaget.
Locky ransomware ble først oppdaget i Februar 2016 og ble rapportert sendt til en halv million brukere. Locky kom inn i rampelyset da i februar i år betalte Hollywood Presbyterian Medical Center et $ 17,000 Bitcoin løsepris for dekrypteringsnøkkelen for pasientdata. Locky smittet sykehusets data gjennom et e-postvedlegg som er skjult som en Microsoft Word-faktura.
Siden februar har Locky kjørt sine utvidelser for å bedra de som har blitt smittet av en annen Ransomware. Locky startet opprinnelig navnet på de krypterte filene til .locky , og da sommeren ankom, utviklet den seg til .zepto forlengelsen, som har blitt brukt i flere kampanjer siden.
Sist hørt, Locky er nå krypterende filer med .ODIN forlengelse, og forsøker å forvirre brukere om at det faktisk er Odin ransomware.
Locky Ransomware
Locky ransomware sprer seg hovedsakelig via spam e-postkampanjer som drives av angriperne. Disse spam-e-postadressene har for det meste .doc-filer som vedlegg som inneholder kryptert tekst som ser ut til å være makroer.
En typisk e-post som brukes i Locky ransomware-distribusjon, kan være av en faktura som fanger de fleste brukerens oppmerksomhet. For eksempel,
Epostfelt kan være - "ATTN: Faktura P-12345678", infisert vedlegg - " faktura_P-12345678.doc " (inneholder makroer som laster ned og installerer Locky ransomware på datamaskiner): "
Og e-postkroppen -" Kjære, vennligst se vedlagte faktura (Microsoft Word Document) og betalingsavgift i henhold til vilkårene som er oppført nederst på fakturaen. Gi oss beskjed hvis du har noen spørsmål. Vi setter stor pris på virksomheten din! "
Når brukeren aktiverer makroinnstillinger i Word-programmet, blir en kjørbar fil som faktisk er ransomware lastet ned på PCen. Deretter krypteres ulike filer på offerets PC med ransomware som gir dem unike 16 brev-sifferkombinasjonsnavn med .shit , .thor , .locky , .zepto eller .odin filutvidelser. Alle filer krypteres med RSA-2048 og AES-1024 algoritmer og krever en privat nøkkel lagret på de eksterne serverne som kontrolleres av cyberkriminelle for dekryptering.
Når filene krypteres, genererer Locky en ekstra .txt og _HELP_instructions.html -fil i hver mappe som inneholder de krypterte filene. Denne tekstfilen inneholder en melding (som vist nedenfor) som informerer brukere om kryptering.
Det fremgår videre at filer kun kan dekrypteres ved hjelp av en dekrypter utviklet av cyberkriminelle og koster.5 BitCoin. Derfor, for å få filene tilbake, blir offeret bedt om å installere Tor-nettleseren og følge en lenke som er gitt i tekstfiler / bakgrunnsbilde. Nettstedet inneholder instruksjoner for å foreta betalingen.
Det er ingen garanti for at selv etter å ha gjort betalingsoffertfilene dekrypteres. Men vanligvis for å beskytte sin "omdømme" holder ransomware forfattere vanligvis til sin del av prute.
Locky Ransomware skifter fra.wsf til.LNK forlengelse
Skriv evolusjonen sin i februar; Locky ransomware infeksjoner har gradvis redusert med mindre detekteringer av Nemucod , som Locky bruker for å infisere datamaskiner. (Nemucod er en.wsf-fil som finnes i.zip-vedlegg i spam-e-post). Som Microsoft har rapportert, har Locky forfattere endret vedlegget fra .wsf filer til snarveiledninger (.LNK-utvidelse) som inneholder PowerShell-kommandoer for å laste ned og kjøre Locky.
En Eksempel på e-postadressen nedenfor viser at den er laget for å få umiddelbar oppmerksomhet fra brukerne. Den sendes med stor betydning og med tilfeldige tegn i emnelinjen. E-postens kropp er tom.
Den spam-e-posten som vanligvis kalles Bill kommer med et.zip-vedlegg, som inneholder.LNK-filene. Ved å åpne.zip vedlegget, utløser brukerne infeksjonskjeden. Denne trusselen er oppdaget som TrojanDownloader: PowerShell / Ploprolo.A . Når PowerShell-skriptet kjøres, løper det ned og kjører Locky i en midlertidig mappe som fullfører smittekjeden.
Filtyper som er målrettet av Locky Ransomware
Nedenfor er filtypene som er målrettet av Locky ransomware.
.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.xx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.da,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qb,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.now,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accd,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q ku,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,..abf.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tjære,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (Sikkerhetskopi),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.xi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.xx,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.
Hvordan hindre Locky Ransomware-angrep
Locky er et farlig virus som har en alvorlig trussel mot PCen din. Det anbefales at du følger disse instruksjonene for å forhindre ransomware og unngå å bli smittet.
- Har alltid en anti-malware-programvare og en anti-ransomware-programvare som beskytter PCen din og oppdaterer den regelmessig.
- Oppdater Windows OS og resten av programvaren oppdatert for å redusere mulige programvareutnyttelser.
- Sikkerhetskopier dine viktige filer regelmessig. Det er et godt alternativ for å få dem lagret frakoblet enn på en skylagring, siden viruset kan nå det også.
- Deaktiver lastingen av makroer i Office-programmer. Å åpne en infisert Word-dokumentfil kan vise seg å være risikabelt!
- Ikke blindt åpne e-post i e-postdelene `spam` eller `Uønsket`. Dette kan føre deg til å åpne en e-post som inneholder malware. Tenk før du klikker på nettsider på nettsteder eller e-post eller laster ned e-postvedlegg fra sendere som du ikke vet. Ikke klikk eller åpne slike vedlegg:
- Filer med.LNK-utvidelse
- Filer with.wsf utvidelse
- Filer med dobbeltpunktsutvidelse (for eksempel profil-p29d … wsf).
Les : Hva skal du gjøre etter et Ransomware-angrep på Windows-datamaskinen?
Slik dekrypterer du Locky Ransomware
Fra nå er det ingen dekryptere tilgjengelig for Locky ransomware. En Decryptor fra Emsisoft kan imidlertid brukes til å dekryptere filer som er kryptert av AutoLocky , en annen ransomware som også omdøper filer til.locky-utvidelsen. AutoLocky bruker skriptspråk AutoI og prøver å etterligne det komplekse og sofistikerte Locky ransomware. Du kan se den komplette listen over tilgjengelige ransomware-dekrypteringsverktøy her.
Kilder og kreditter : Microsoft | BleepingComputer | PCRisk.
Det var få detaljer om hvordan dette kunne bli satt i bruk, men KDDI tilbød eksempelet på roboten å analysere brukerens diett og gi forslag. Formentlig skal brukeren legge inn hva de spiser hver dag for at dette skal skje, og det ser ingen grunn til at en robot kan gjøre dette noe bedre enn programvare som kjører på selve telefonen, bortsett fra kanskje at roboten er kortere.
[ Videre lesing: De beste Android-telefonene for hvert budsjett. ]
Først er det litt stotter. Deretter henger et program, og en morsom støy kryper fra maskinen din. Deretter slår den berømte blå skjermen deg i ansiktet. Datamaskinen krasjet, og alt du kan gjøre er å sitte i den vanskelige stillheten til en omstart, og håper det ikke var dødelig.
Det er mange mulige årsaker til disse helvete episodene, og det er viktig å bli utdannet på whys og hvordan PCer krasjer for å hindre dem i fremtiden. Tross alt, kan neste krasj være din PCs siste. Følgende er en oversikt over syv vanlige årsaker og løsninger.
Med Windows 10 v1803 tilbyr Microsoft deg nå en måte å se hvor mye data din Wireless eller Ethernet-adapter kan forbruke. Dette er viktig på grunn av datagrenser du kan ha med Internett-leverandøren din. Jeg er sikker på at mange av dere har enten ubegrenset eller stort lager av data båndbredde, men det er mange som ikke har dette privilegiet. Thisfeature er viktig for dem, da data ikke er billig og med dette, på plass, kan man forstå hvor mye data har blitt brukt uten å bruke noe tredjepartsver
Det er et annet aspekt. Mange ganger kobler du til flere nettverk - og du får også vite detaljer om det.