Deweloperzy ransomware Locky, wydają się ostatnio być bardzo zajęci rozwijaniem aktualizacji do swojego nikczemnego produktu, służącego do wymuszeń. Trzy miesiące po pojawieniu się poprzedniego wariantu „zepto”, odkryto nową iterację, która dołącza rozszerzenie .thor do uszkodzonych plików. Oprócz zmiany nazwy pliku, ta wersja wirusa Locky wykazuje również szereg udoskonaleń związanych z dystrybucją.
Wirus krypto Locky przez prawie rok działał na dziko i nie doznał najmniejszego spadku swoich obrotów w tym okresie czasu. Wręcz przeciwnie. W tym momencie wirus pozostaje jednym z najbardziej rozpowszechnionych i niebezpiecznych przykładów szkodnika. Ponadto, mimo znacznych wysiłków ze strony intelektualnych naukowców, ten szczep wirusa nie jest jeszcze odszyfrowany. Biorąc to pod uwagę, częstotliwość pojawiania się nowej edycji Locky wzrosła, co jeszcze bardziej wpływa na wykrywanie i deszyfrowanie wirusa. Poprzedni wariant nazwany Zepto nawet nie przetrwał miesiąca. Najnowsza podrasowana wersja przyniosła kilka ważnych zmian. Po pierwsze, infekcja zaczęła łączyć rozszerzenie .thor ze wszystkimi plikami, które zostały zakodowane w ramach kompromisu. Po drugie, operatorzy tej kampanii zdecydowali zmodyfikować format złośliwego ładunku.
Sposób w jaki obecnie rozmnaża się wirus Locky to nadal spam, który wspierany jest przez potężny botnet nazwany Necurs. Format załączonego złośliwego pliku został zmieniony na .hta. Oznacza on aplikację HTML, która uruchamia procesy naruszające bezpieczeństwo w tle jak tylko niczego niespodziewający się użytkownik ją otworzy. Takie wiadomości e-mail mogą zawierać następujące tematy: „Pokwitowanie” (Receipt) lub „Reklamację” (Complaint letter). Załącznik jest najprawdopodobniej w archiwum ZIP, które wydobywa się jako plik o nazwie Pokwitowanie [losowe cyfry].hta, Reklamacja [losowe cyfry].hta lub Zapisana wiadomość [losowe cyfry].hta. Zastosowanie tego nowego formatu załadunku ma zapewne na celu unikanie wykrycia AV i usprawnienie przepływu pracy ataku.
Po uruchomieniu, to ransomware jest ukierunkowane na system i tam zaczyna działać uruchamiając skanowanie w poszukiwaniu danych. Podczas wykonywania skanu, wersja .thor z Locky szuka rozpowszechnionych typów plików na dysku twardym, dyskach wymiennych jeśli są podłączone do komputera i udziałów sieciowych. Potem, używa kombinacji algorytmów kryptograficznych RSA-2048 i AES-128 do szyfrowania wszystkich wpisów zidentyfikowanych jako osobiste podczas takiego skanowania. Wirus następnie zastępuje tapetę pulpitu własną tapetą z obrazem ostrzegania. Wirus dodaje również notatkę na pulpicie o nazwie „_HOWDO_text” i rozsyła ją po zaszyfrowanych katalogach. Te notatki z instrukcjami, jak również nowe tło pulpitu instruują ofiarę do odwiedzenia strony deszyfrującej wirusa Locky (Locky Decryptor) i wykonania wpłaty około 0,5 Bitcoin, aby automatycznie rozwiązać problem.
Ciekawą właściwością wariantu Locky rozszerzenia .thor jest możliwość szyfrowania danych w trybie offline. Oznacza to, że wirus nie musi kwestionować zewnętrznych Poleceń (Command) i serwerów Sterujących (Control) dla kluczy kryptograficznych, więc teraz staje się zagrożeniem autonomicznym. Ponadto wirus nie pokazuje żadnych informacji ostrzegawczych nawet przy ochronie typu Firewall, i zapewnia atakującym dodatkową warstwą ochronną. Zważywszy na to, że odszyfrowywanie plików .thor bez płacenia za prywatny klucz RSA jest ledwo możliwe, zainfekowani użytkownicy powinni rozważyć wykorzystanie inteligentnych metodologii kryminalistycznych, aby przywrócić najważniejsze dane.
Usunięcie tego szkodnika może być skutecznie zrealizowane z niezawodnym oprogramowaniem zabezpieczającym. Wykorzystanie techniki automatycznego czyszczenia zapewnia, że wszystkie elementy zakażenia zostaną dokładnie usunięte z systemu.
Rozwiązanie 1: Wykorzystanie oprogramowania do odzyskiwania plików
Ważne jest, aby wiedzieć, że wirus Locky tworzy kopie plików i szyfruje je. W międzyczasie, oryginalne pliki zostają usunięte. Istnieją aplikacje, które obecnie mogą odzyskać usunięte dane. Można tutaj wykorzystać narzędzia, takie jak Data Recovery Pro. Najnowsza wersja tego ransomware bierze pod uwagę tendencję do zastosowania bezpiecznego usuwania wirusa, ale w każdym razie warto jest wypróbować tą metodę.
Rozwiązanie 2: Skorzystaj z kopii zapasowych
Przede wszystkim, jest to świetny sposób na odzyskanie plików. Metodę można zastosować, jeśli utworzone zostały kopie zapasowe danych przechowywanych na komputerze. Jeśli tak, to Twoja przezorność się opłacała.
Rozwiązanie 3: Użyj Kopiowania Woluminów w Tle
Jeśli nie wiedziałeś, to system operacyjny tworzy tzw. Kopiowanie Woluminów w Tle każdego pliku dopóki opcja Przywracanie Systemu (System Restore) jest włączona na komputerze. Punkty przywracania są tworzone w określonych odstępach czasu, generowane są również migawki plików, które pojawiają się w tej samej chwili. Należy pamiętać, że ta metoda nie zapewnia przywrócenia najnowszych wersji plików. Na pewno jednak warto jest spróbować. Ten obieg jest wykonalny na dwa sposoby: ręcznie, poprzez zastosowanie automatycznego rozwiązania. Więc najpierw przyjrzyjmy się manualnemu procesowi.
Właściwości dla losowych plików posiada zakładka Poprzednie Wersje. To tu zapisane są poprzednie wersję i są one wyświetlane, stąd mogą być odzyskane. Dlatego kliknij prawym przyciskiem myszy na plik, idź do Właściwości, wybierz wymienioną powyżej zakładkę i wybierz Kopiuj lub opcję Otwórz, w zależności od lokalizacji, w której chcesz je odzyskać
Powyższy proces może być zautomatyzowany narzędziem nazwanym ShadowExplorer. Właściwie dokonuje tej samej rzeczy (odzyskanie Kopii Rozmiaru Cienia), ale w bardziej przystępny sposób. Dlatego pobierz i zainstaluj aplikację, odpal ją oraz przeglądaj pliki i foldery, których poprzednie wersje chciałbyś odzyskać. By wykonać to zadanie, kliknij prawym przyciskiem na jakikolwiek wpis i wybierz opcję Export
Ponownie, samo usunięcie złośliwego oprogramowania nie prowadzi do zdeszyfrowania plików osobistych. Powyższe metody przywracania danych, mogą lub nie załatwić sprawę, ale samo ransomware nie znajduje się już wewnątrz Twojego komputera. Nawiasem mówiąc, wirus pojawia się z innym złośliwym oprogramowaniem, dlatego na pewno sensowne jest wielokrotne zeskanowanie systemu z automatycznym oprogramowaniem zabezpieczającym w celu upewnienia się, że żadne szkodliwe pozostałości tego wirusa i związane z nimi zagrożenia nie pozostały w rejestrze systemu Windows i innych miejscach.
Pobierz oprogramowanie do skanowania i usuwania ransomware Thor