Threat Database Ransomware '.locky File Extension' Ransomware

'.locky File Extension' Ransomware

Por GoldSparrow em Ransomware

Cartão de pontuação de ameaças

Nível da Ameaça: 100 % (Alto)
Computadores infectados: 366
Visto pela Primeira Vez: February 16, 2016
Visto pela Última Vez: October 27, 2021
SO (s) Afetados: Windows

As infecções por ransomware tornaram-se cada vez mais comuns nos últimos anos. Somente nos primeiros dois meses de 2016, os usuários de computador se depararam com centenas de novas infecções por ransomware e variantes de ameaças de ransomware anteriores. Uma das ameaças mais prevalentes neste período é o TeslaCrypt 3.0, uma nova versão de um Trojan ransomware lançado no início de 2015. O '.locky File Extension' Ransomware é uma das muitas variantes dessa ameaça. Essa nova versão do TeslaCrypt fecha uma lacuna que permitiu que os pesquisadores de segurança ajudassem os usuários de computador a recuperar os seus arquivos. Variantes dessa ameaça foram lançadas, todas elas mudando as extensões dos arquivos das vítimas para uma seqüência de caracteres diferentes. No caso do '.locky File Extension' Ransomware, essa é uma variante do TeslaCrypt 3.0 que muda as extensões dos arquivos criptografados para LOCKY .

Como o '.locky File Extension' Ransomware pode Infectar um Computador

O processo de infecção do '.locky File Extension' Ransomware não é difícil de entender. Na verdade, a maioria dos ransomware de criptografia tendem a seguir os mesmos procedimentos ao infectar um computador. Primeiro, o '.locky File Extension' Ransomware será instalado usando métodos de entrega de ameaças comuns, na maioria dos casos um anexo de email corrompido contido em uma mensagem de correio electrónico de phishing. Quando a vítima abrir o anexo de e-mail, o '.locky File Extension' Ransomware será instalado no computador da vítima. O '.locky File Extension' Ransomware executará uma digitalização no computador da vítima, procurando por arquivos a serem criptografados usando o algoritmo de criptografia AES. O .locky File Extension' Ransomware irá infectar arquivos com as seguintes extensões:

.7z; .rar; .m4a; .wma; .avi; .wmv; .csv; .d3dbsp; .sc2save; .sie; .sum; .ibank; .t13; .t12; .qdf; .gdb; .tax; .pkpass; .bc6; .bc7; .bkp; .qic; .bkf; .sidn; .sidd; .mddata; .itl; .itdb; .icxs; .hvpl; .hplg; .hkdb; .mdbackup; .syncdb; .gho; .cas; .svg; .map; .wmo; .itm; .sb; .fos; .mcgame; .vdf; .ztmp; .sis; .sid; .ncf; .menu; .layout; .dmp; .blob; .esm; .001; .vtf; .dazip; .fpk; .mlx; .kf; .iwd; .vpk; .tor; .psk; .rim; .w3x; .fsh; .ntl; .arch00; .lvl; .snx; .cfr; .ff; .vpp_pc; .lrf; .m2; .mcmeta; .vfs0; .mpqge; .kdb; .db0; .DayZProfile; .rofl; .hkx; .bar; .upk; .das; .iwi; .litemod; .asset; .forge; .ltx; .bsa; .apk; .re4; .sav; .lbf; .slm; .bik; .epk; .rgss3a; .pak; .big; .unity3d; .wotreplay; .xxx; .desc; .py; .m3u; .flv; .js; .css; .rb; .png; .jpeg; .txt; .p7c; .p7b; .p12; .pfx; .pem; .crt; .cer; .der; .x3f; .srw; .pef; .ptx; .r3d; .rw2; .rwl; .raw; .raf; .orf; .nrw; .mrwref; .mef; .erf; .kdc; .dcr; .cr2; .crw; .bay; .sr2; .srf; .arw; .3fr; .dng; .jpeg; .jpg; .cdr; .indd; .ai; .eps; .pdf; .pdd; .psd; .dbfv; .mdf; .wb2; .rtf; .wpd; .dxg; .xf; .dwg; .pst; .accdb; .mdb; .pptm; .pptx; .ppt; .xlk; .xlsb; .xlsm; .xlsx; .xls; .wps; .docm; .docx; .doc; .odb; .odc; .odm; .odp; .ods; .odt

Depois que o '.locky File Extension' Ransomware infecta os arquivos das vítimas, o '.locky File Extension' Ransomware muda as extensões dos arquivos afetados para LOCKY, para indicar quais arquivos foram criptografados. O '.locky File Extension' Ransomware também elimina as cópias do Shadow Volume dos arquivos criptografados, bem como os pontos de Restauração do Sistema, tornando impossível que os usuários de computador usem métodos alternativos para recuperar os seus arquivos. Infelizmente, atualmente não é possível descriptografar os arquivos criptografados pelo '.locky File Extension' Ransomware sem a chave de criptografia, que é armazenada no servidor de Comando e Controle, em vez guarda-la junto ao '.locky File Extension' Ransomware.

O '.locky File Extension' Ransomware alerta a vítima sobre a infecção usando arquivos de texto ou imagem que serão exibidos no computador da vítima. Essas mensagens vão exigir o pagamento de um resgate que vai custar várias centenas de dólares através de BitCoins ou outros métodos anônimos. O que se segue é um exemplo de uma mensagem de resgate comumente associada ao '.locky File Extension' Ransomware:

Seus arquivos pessoais foram criptografados!
Os seus arquivos neste PC foram criptografados com segurança: fotos, vídeos, documentos, etc. Clique na tecla "mostrar os arquivos criptografados" para ver uma lista completa dos arquivos criptografados, e você poderá verificar isso pessoalmente.
A criptografia foi produzida usando uma única chave pública RSA-2048 gerada para este computador. Para descriptografar os arquivos, você precisa para obter a chave privada.

SpyHunter detecta e remove '.locky File Extension' Ransomware

Detalhes Sobre os Arquivos do Sistema

'.locky File Extension' Ransomware pode criar o(s) seguinte(s) arquivo(s):
# Nome do arquivo MD5 Detecções
1. Nwiz.dll 877dcbdf9b0a4a0872aadb13496d60b8 100
2. tmp00124509 2fbffc7434688a221968eabce01cf406 27
3. Nwiz.dll 47071fa53f96afad764ab149b2d2fea6 21
4. file.exe 0ca0d0acc30a746227bc4b5054569d7f 3
5. file.exe 85875718160f86a6b2a50befab250f43 2
6. 5606e9dc4ab113749953687adac6ddb7b19c864f6431bdcf0c5b0e2a98cca39e 9dcdfbb3e8e4020e4cf2fc77e86daa76 2
7. file.exe 7c31e5040c3d22f0d5fd89b4ff9c10db 1
8. f689391b0527fbf40d425e1ffb1fafd5c84fa68af790e8cc4093bcc81708c11b 544bc1c6ecd95d89d96b5e75c3121fea 1
9. file.exe b2753d4292bb12272d8e5cb00242bc5a 1
10. a lockk.exe bfff16a0cca57b278591052a9059c0a1 1
11. problem.437332391.js 34b1de7abb0fca894b13780fc65899eb 0
12. MRI6219316107.js e66009d3c69f364568d5f0d5dd6ec2d0 0
13. file.exe b0ca8c5881c1d27684c23db7a88d11e1 0
14. file.exe c5ad81d8d986c92f90d0462bc06ac9c6 0
15. file.exe ebf1f8951ec79f2e6bf40e6981c7dbfc 0
16. file.exe c325dcf4c6c1e2b62a7c5b1245985083 0
17. file.exe 8581787782f6647b506cfe5eac136477 0
18. file.exe d2863c69b8e8deac65d27875a2d0edc9 0
19. name bdff9c8ae6506768df834d19dfa028f9 0
20. file.exe b61684edf1843503106cf5b900813eaf 0
21. file.exe bf432becfc993d0bec4fabeff48b1292 0
22. file.exe 0d0823d9a5d000b80e27090754f59ee5 0
23. file.exe 20f2ca720cb4dcca9195113f258ca4ef 0
24. file.exe 899ba682505dcbbecaa42f5bbd7ea639 0

Detalhes sobre o Registro

'.locky File Extension' Ransomware pode criar a seguinte entrada de registro ou entradas de registro:
File name without path
_Locky_recover_instructions.bmp
E65DPaiQc7R.hta
Regexp file mask
%Temp%\MicroImageDir\_HOWDO_text.bmp
%USERPROFILE%\DesktopOSIRIS.bmp

Tendendo

Mais visto

Carregando...