FilesLocker勒索软件

FilesLocker Ransomware是一种加密勒索软件木马，于2018年12月3日首次被发现。FilesLocker Ransomware通常是通过损坏的在线文件下载来提供的。安装后，FilesLocker Ransomware的目的是使受害者的文件不可访问，将其劫为人质，然后要求受害者支付赎金。

FilesLocker勒索软件攻击的工作方式

FilesLocker Ransomware使用AES 256加密使受害者的文件不可访问。 FilesLocker Ransomware的攻击针对用户生成的文件，其中可能包括各种各样的媒体文件，数据库和文档。 FilesLocker Ransomware将在其攻击中加密以下指定的文件：

.jpg，.jpeg，.raw，.tif，.gif，.png，.bmp，.3dm，.max，.accdb，.db，.dbf，.mdb，.pdb，.sql，.dwg，.dxf ，.cpp，.cs，.h，.php，.asp，.rb，.java，.jar，.class，.py，.js，.aaf，.aep，.aepx，.plb，.prel 、. prproj，.aet，.ppj，.psd，.indd，.indl，.indt，.indb，.inx，.idml，.pmd，.xqx，.xqx，.ai，.eps，.ps，.svg， .swf，.fla，.as3，.as，.txt，.doc，.dot，.docx，.docm，.dotx，.dotm，.docb，.rtf，.wpd，.wps，.msg，.pdf ，.xls，.xlt，.xlm，.xlsx，.xlsm，.xltx，.xltm，.xlsb，.xla，.xlam，.xll，.xlw，.ppt，.pot，.pps，.pptx 、. pptm，.potx，.potm，.ppam，.ppsx，.ppsm，.sldx，.sldm，.wav，.mp3，.aif，.iff，.m3u，.m4u，.mid，.mpa，.wma， .ra，.avi，.mov，.mp4，.3gp，.mpeg，.3g2，.asf，.asx，.flv，.mpg，.wmv，.vob，.m3u8，.dat，.csv，.efx ，.sdf，.vcf，.xml，.ses，.qbw，.qbb，.qbm，.qbi，.qbr，.cnt，.des，.v30，.qbo，.ini，.lgb，.qwc 、. qbp，.aif，.qba，.tlg，.qbx，.qby，.1pa，.qpd，.txt，.set，.iif，.nd，.rtp，.tlg，.wav，.qsm，.qss， .qst，.fx0，.fx1，.mx0，.fpx，.fxr，.fim，.ptb，.ai，.pfb，.cgn，.vsd 、. cdr，.cmx，.cpt，.csl，.cur，.des，.dsf，.ds4，.drw，.eps，.ps，.prn，.gif，.pcd，.pct，.pcx，.plt ，.rif，.svg，.swf，.tga，.tiff，.psp，.ttf，.wpd，.wpg，.wi，.raw，.wmf，.txt，.cal，.cpx，.shw 、. clk，.cdx，.cdt，.fpx，.fmv，.img，.gem，.xcf，.pic，.mac，.met，.pp4，.pp5，.ppf，.nap，.pat，.ps， .prn，.sct，.vsd，.wk3，.wk4，.xpm，.zip，.rar。

FilesLocker Ransomware通过更改受感染计算机的桌面映像来提供赎金记录。新的桌面墙纸包含以英文和中文写的赎金记录，内容如下：

'您的所有重要文件都已加密！
如果您了解情况的严重性
请阅读桌面上的“ #DECRYPT我的文件＃.txt”以与我们联系。

包含赎金记录和名为“ FilesLocker v2.0”的程序窗口的FilesLocker Ransomware文本文件在受害者的计算机上显示以下消息：

'您的所有importnat文件都已加密！
＃发生了什么？
您所有重要的文件（数据库，文档，图像，视频，音乐等）都已加密！只有我们才能解密！
要解密文件，您需要从我们这里购买解密密钥。我们是唯一可以为您解密文件的人。
＃注意！
尝试重新安装系统并使用第三方工具解密文件会导致文件损坏，这意味着没有人可以解密您的文件。（包括我们在内）如果您仍然尝试自己解密文件，请在个人风险！
＃测试解密！作为证明，您可以通过电子邮件给我们3个文件进行解密，我们将向您发送恢复的文件以证明我们可以对您的文件进行解密。
＃如何解密？
1.买0.25比特币
2.发送0.25比特币到付款地址
3.Email您的ID给我们，经过验证，我们将为您创建一个解密工具。
记住，坏事发生了，现在看看你的决心和行动！
电子邮件1 fileslocker@pm.me [复制|按钮]
您的ID：[随机字符] [复制|按钮

处理FilesLocker勒索软件

使用数字货币支付的FilesLocker Ransomware赎金接近1,000美元。但是，建议是避免支付FilesLocker Ransomware赎金或与负责FilesLocker Ransomware攻击的犯罪分子联系。取而代之的是，任何可能的受害者都应采取措施以确保他们可以恢复受到这些攻击破坏的任何文件，例如拥有所有文件的备份副本并将这些副本存储在云中或不断更新的外部存储设备上。

更新2018年12月31日— FilesLocker-Christmas Ransomware

FilesLocker-Christmas Ransomware是一种文件编码器木马，在圣诞节后不久出现，并设法对许多设备上的数据进行编码。 FilesLocker-Christmas Ransomware通过垃圾邮件分发，其中包括圣诞节风格的数字卡和虚假的社交媒体更新。网络安全研究人员可以将FilesLocker-Christmas勒索软件称为FilesLocker v2.0勒索软件，因为它是最近发布的FilesLocker Ransomware（2018年12月3日）的新变种。已知新的变体可以对照片，文本，数据库以及小的音频和视频文件进行编码。攻击遵循圣诞节主题，在该主题下，用户的桌面变为具有圣诞树装饰和以下消息的喜庆背景图像：

'您的所有重要文件都已加密！
如果您了解情况的重要性
请阅读桌面上的“ #DECRYPT MY FILES＃.txt”以与我们联系'

此外，FilesLocker-Christmas Ransomware使用Windows 10中的内置语音合成器来读取以下语句：

'你好，克里斯蒂姆斯，注意！您的文档，图像，数据库和其他重要文件已加密！您的文档，图像，数据库和其他重要文件已加密！您的文档，图像，数据库和其他重要文件已加密！您的文档，图像，数据库和其他重要文件已加密！

编码的数据保留其原始扩展名，但文件图标已更改，并且赎金记录显示在桌面上。正如您在上面看到的那样，威胁参与者正在使用一个名为“ #DECRYPT MY FILES＃.txt”的文件向用户发送消息并提供解密服务。威胁参与者继续使用“ fileslocker@pm.me”电子邮件帐户，但赎金通知有所不同。 FilesLocker-Christmas Ransomware将赎金付款从0.25比特币（≈950美元）提高到0.3比特币（≈1140美元）。来自FilesLocker-Christmas Ransomware的通知显示为：

'FilesLocker Ransomware v2.0
您所有重要的文件都已加密！
＃发生了什么？
您所有重要的文件（数据库，文档，图像，视频，音乐等）都已加密！只有我们才能解密！
要解密文件，您需要从我们这里购买解密密钥。我们是唯一可以为您解密文件的人。
＃注意！
尝试重新安装系统并使用第三方工具解密文件会导致文件损坏，这意味着没有人可以解密您的文件。（包括我们在内）如果您仍然尝试自己解密文件，请在您自己的计算机上进行解密。个人风险！
＃测试解密！作为证明，您可以通过电子邮件给我们3个文件进行解密，我们将向您发送恢复的文件以证明我们可以对您的文件进行解密。
＃如何解密？
1.买0.3比特币
2.发送0.3比特币到付款地址
3.Email您的ID给我们，经过验证，我们将为您创建一个解密工具。
电子邮件：fileslocker@pm.me'

但是，计算机安全研究人员注意到，可以在错误代码中找到恢复受影响数据所需的专用解密密钥。在您阅读本文时，视听公司可能会发布免费的解密器。您可能想知道，FilesLocker-Christmas Ransomware（也称为FilesLocker v2.0）中的私钥可能会应用于由FilesLocker v1.0 Ransomware加密的数据。最好在系统上安装备份管理器，并避免依赖FilesLocker开发人员出售的解密服务。

SpyHunter 检测并删除 FilesLocker勒索软件