'.locky File Extension' Ransomware

Descrição do '.locky File Extension' Ransomware

As infecções por ransomware tornaram-se cada vez mais comuns nos últimos anos. Somente nos primeiros dois meses de 2016, os usuários de computador se depararam com centenas de novas infecções por ransomware e variantes de ameaças de ransomware anteriores. Uma das ameaças mais prevalentes neste período é o TeslaCrypt 3.0, uma nova versão de um Trojan ransomware lançado no início de 2015. O '.locky File Extension' Ransomware é uma das muitas variantes dessa ameaça. Essa nova versão do TeslaCrypt fecha uma lacuna que permitiu que os pesquisadores de segurança ajudassem os usuários de computador a recuperar os seus arquivos. Variantes dessa ameaça foram lançadas, todas elas mudando as extensões dos arquivos das vítimas para uma seqüência de caracteres diferentes. No caso do '.locky File Extension' Ransomware, essa é uma variante do TeslaCrypt 3.0 que muda as extensões dos arquivos criptografados para LOCKY .

Como o '.locky File Extension' Ransomware pode Infectar um Computador

O processo de infecção do '.locky File Extension' Ransomware não é difícil de entender. Na verdade, a maioria dos ransomware de criptografia tendem a seguir os mesmos procedimentos ao infectar um computador. Primeiro, o '.locky File Extension' Ransomware será instalado usando métodos de entrega de ameaças comuns, na maioria dos casos um anexo de email corrompido contido em uma mensagem de correio electrónico de phishing. Quando a vítima abrir o anexo de e-mail, o '.locky File Extension' Ransomware será instalado no computador da vítima. O '.locky File Extension' Ransomware executará uma digitalização no computador da vítima, procurando por arquivos a serem criptografados usando o algoritmo de criptografia AES. O .locky File Extension' Ransomware irá infectar arquivos com as seguintes extensões:

.7z; .rar; .m4a; .wma; .avi; .wmv; .csv; .d3dbsp; .sc2save; .sie; .sum; .ibank; .t13; .t12; .qdf; .gdb; .tax; .pkpass; .bc6; .bc7; .bkp; .qic; .bkf; .sidn; .sidd; .mddata; .itl; .itdb; .icxs; .hvpl; .hplg; .hkdb; .mdbackup; .syncdb; .gho; .cas; .svg; .map; .wmo; .itm; .sb; .fos; .mcgame; .vdf; .ztmp; .sis; .sid; .ncf; .menu; .layout; .dmp; .blob; .esm; .001; .vtf; .dazip; .fpk; .mlx; .kf; .iwd; .vpk; .tor; .psk; .rim; .w3x; .fsh; .ntl; .arch00; .lvl; .snx; .cfr; .ff; .vpp_pc; .lrf; .m2; .mcmeta; .vfs0; .mpqge; .kdb; .db0; .DayZProfile; .rofl; .hkx; .bar; .upk; .das; .iwi; .litemod; .asset; .forge; .ltx; .bsa; .apk; .re4; .sav; .lbf; .slm; .bik; .epk; .rgss3a; .pak; .big; .unity3d; .wotreplay; .xxx; .desc; .py; .m3u; .flv; .js; .css; .rb; .png; .jpeg; .txt; .p7c; .p7b; .p12; .pfx; .pem; .crt; .cer; .der; .x3f; .srw; .pef; .ptx; .r3d; .rw2; .rwl; .raw; .raf; .orf; .nrw; .mrwref; .mef; .erf; .kdc; .dcr; .cr2; .crw; .bay; .sr2; .srf; .arw; .3fr; .dng; .jpeg; .jpg; .cdr; .indd; .ai; .eps; .pdf; .pdd; .psd; .dbfv; .mdf; .wb2; .rtf; .wpd; .dxg; .xf; .dwg; .pst; .accdb; .mdb; .pptm; .pptx; .ppt; .xlk; .xlsb; .xlsm; .xlsx; .xls; .wps; .docm; .docx; .doc; .odb; .odc; .odm; .odp; .ods; .odt

Depois que o '.locky File Extension' Ransomware infecta os arquivos das vítimas, o '.locky File Extension' Ransomware muda as extensões dos arquivos afetados para LOCKY, para indicar quais arquivos foram criptografados. O '.locky File Extension' Ransomware também elimina as cópias do Shadow Volume dos arquivos criptografados, bem como os pontos de Restauração do Sistema, tornando impossível que os usuários de computador usem métodos alternativos para recuperar os seus arquivos. Infelizmente, atualmente não é possível descriptografar os arquivos criptografados pelo '.locky File Extension' Ransomware sem a chave de criptografia, que é armazenada no servidor de Comando e Controle, em vez guarda-la junto ao '.locky File Extension' Ransomware.

O '.locky File Extension' Ransomware alerta a vítima sobre a infecção usando arquivos de texto ou imagem que serão exibidos no computador da vítima. Essas mensagens vão exigir o pagamento de um resgate que vai custar várias centenas de dólares através de BitCoins ou outros métodos anônimos. O que se segue é um exemplo de uma mensagem de resgate comumente associada ao '.locky File Extension' Ransomware:

Seus arquivos pessoais foram criptografados!
Os seus arquivos neste PC foram criptografados com segurança: fotos, vídeos, documentos, etc. Clique na tecla "mostrar os arquivos criptografados" para ver uma lista completa dos arquivos criptografados, e você poderá verificar isso pessoalmente.
A criptografia foi produzida usando uma única chave pública RSA-2048 gerada para este computador. Para descriptografar os arquivos, você precisa para obter a chave privada.

Informação Técnica

Detalhes Sobre os Arquivos do Sistema

'.locky File Extension' Ransomware cria o(s) seguinte(s) arquivo(s):
# Nome do arquivo Tamanho MD5 Contagem da Detecção
1 c:\windows\temp\bdcore_tmp\1920\tmp00000088\tmp00124509 436,224 2fbffc7434688a221968eabce01cf406 27
2 %APPDATA%Nwiz.dll 57,344 47071fa53f96afad764ab149b2d2fea6 21
3 c:\users\user\desktop\5606e9dc4ab113749953687adac6ddb7b19c864f6431bdcf0c5b0e2a98cca39e 620,544 9dcdfbb3e8e4020e4cf2fc77e86daa76 2
4 c:\users\user\desktop\a lockk.exe 372,742 bfff16a0cca57b278591052a9059c0a1 1
5 problem.437332391.js 4,052 34b1de7abb0fca894b13780fc65899eb 0
6 MRI6219316107.js 6,248 e66009d3c69f364568d5f0d5dd6ec2d0 0
7 file.exe 39,424 b0ca8c5881c1d27684c23db7a88d11e1 0
8 dirname 282,626 bdff9c8ae6506768df834d19dfa028f9 0
Arquivos Adicionais

Detalhes sobre o Registro

'.locky File Extension' Ransomware cria a seguinte entrada de registro ou entradas de registro:
File name without path
_Locky_recover_instructions.bmp
E65DPaiQc7R.hta
Regexp file mask
%Temp%\MicroImageDir\_HOWDO_text.bmp
%USERPROFILE%\DesktopOSIRIS.bmp

Isenção de Responsabilida do Site

O Enigmasoftware.com não é associado, afiliado, patrocinado ou de propriedade dos criadores ou distribuidores de malware mencionados neste artigo. Este artigo NÃO deve ser mal compreendido ou confundido como estando associado de alguma forma à promoção ou endosso de malware. Nossa intenção é fornecer informações que instruam os usuários de computador sobre como detectar e finalmente remover malware dos seus computadores com a ajuda do SpyHunter e/ou instruções de remoção manual fornecidas neste artigo.

Este artigo é fornecido "como está" e deve ser usado apenas para fins educacionais. Ao seguir as instruções deste artigo, você concorda em ficar vinculado a esse aviso Legal. Não garantimos que este artigo o ajude a remover completamente as ameaças de malware do seu computador. O spyware muda regularmente; portanto, é difícil limpar completamente uma máquina infectada por meios manuais.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"