FilesLocker勒索軟件

FilesLocker Ransomware是一種加密勒索軟件木馬，於2018年12月3日首次被發現。FilesLocker Ransomware通常是通過損壞的在線文件下載來提供的。安裝後，FilesLocker Ransomware的目的是使受害者的文件不可訪問，將其劫為人質，然後要求受害者支付贖金。

FilesLocker勒索軟件攻擊的工作方式

FilesLocker Ransomware使用AES 256加密使受害者的文件不可訪問。 FilesLocker Ransomware的攻擊針對用戶生成的文件，其中可能包括各種各樣的媒體文件，數據庫和文檔。 FilesLocker Ransomware將在其攻擊中加密以下指定的文件：

.jpg，.jpeg，.raw，.tif，.gif，.png，.bmp，.3dm，.max，.accdb，.db，.dbf，.mdb，.pdb，.sql，.dwg，.dxf ，.cpp，.cs，.h，.php，.asp，.rb，.java，.jar，.class，.py，.js，.aaf，.aep，.aepx，.plb，.prel 、. prproj，.aet，.ppj，.psd，.indd，.indl，.indt，.indb，.inx，.idml，.pmd，.xqx，.xqx，.ai，.eps，.ps，.svg， .swf，.fla，.as3，.as，.txt，.doc，.dot，.docx，.docm，.dotx，.dotm，.docb，.rtf，.wpd，.wps，.msg，.pdf ，.xls，.xlt，.xlm，.xlsx，.xlsm，.xltx，.xltm，.xlsb，.xla，.xlam，.xll，.xlw，.ppt，.pot，.pps，.pptx 、. pptm，.potx，.potm，.ppam，.ppsx，.ppsm，.sldx，.sldm，.wav，.mp3，.aif，.iff，.m3u，.m4u，.mid，.mpa，.wma， .ra，.avi，.mov，.mp4，.3gp，.mpeg，.3g2，.asf，.asx，.flv，.mpg，.wmv，.vob，.m3u8，.dat，.csv，.efx ，.sdf，.vcf，.xml，.ses，.qbw，.qbb，.qbm，.qbi，.qbr，.cnt，.des，.v30，.qbo，.ini，.lgb，.qwc 、. qbp，.aif，.qba，.tlg，.qbx，.qby，.1pa，.qpd，.txt，.set，.iif，.nd，.rtp，.tlg，.wav，.qsm，.qss， .qst，.fx0，.fx1，.mx0，.fpx，.fxr，.fim，.ptb，.ai，.pfb，.cgn，.vsd 、. cdr，.cmx，.cpt，.csl，.cur，.des，.dsf，.ds4，.drw，.eps，.ps，.prn，.gif，.pcd，.pct，.pcx，.plt ，.rif，.svg，.swf，.tga，.tiff，.psp，.ttf，.wpd，.wpg，.wi，.raw，.wmf，.txt，.cal，.cpx，.shw 、. clk，.cdx，.cdt，.fpx，.fmv，.img，.gem，.xcf，.pic，.mac，.met，.pp4，.pp5，.ppf，.nap，.pat，.ps， .prn，.sct，.vsd，.wk3，.wk4，.xpm，.zip，.rar。

FilesLocker Ransomware通過更改受感染計算機的桌面映像來提供贖金記錄。新的桌面牆紙包含以英文和中文寫的贖金記錄，內容如下：

'您的所有重要文件都已加密！
如果您了解情況的嚴重性
請閱讀桌面上的“ #DECRYPT我的文件＃.txt”以與我們聯繫。

包含贖金記錄和名為“ FilesLocker v2.0”的程序窗口的FilesLocker Ransomware文本文件在受害者的計算機上顯示以下消息：

'您的所有importnat文件都已加密！
＃發生了什麼？
您所有重要的文件（數據庫，文檔，圖像，視頻，音樂等）都已加密！只有我們才能解密！
要解密文件，您需要從我們這裡購買解密密鑰。我們是唯一可以為您解密文件的人。
＃注意！
嘗試重新安裝系統並使用第三方工具解密文件會導致文件損壞，這意味著沒有人可以解密您的文件。（包括我們在內）如果您仍然嘗試自己解密文件，請在個人風險！
＃測試解密！作為證明，您可以通過電子郵件給我們3個文件進行解密，我們將向您發送恢復的文件以證明我們可以對您的文件進行解密。
＃如何解密？
1.買0.25比特幣
2.發送0.25比特幣到付款地址
3.Email您的ID給我們，經過驗證，我們將為您創建一個解密工具。
記住，壞事發生了，現在看看你的決心和行動！
電子郵件1 fileslocker@pm.me [複製|按鈕]
您的ID：[隨機字符] [複製|按鈕

處理FilesLocker勒索軟件

使用數字貨幣支付的FilesLocker Ransomware贖金接近1,000美元。但是，建議是避免支付FilesLocker Ransomware贖金或與負責FilesLocker Ransomware攻擊的犯罪分子聯繫。取而代之的是，任何可能的受害者都應採取措施以確保他們可以恢復受到這些攻擊破壞的任何文件，例如擁有所有文件的備份副本並將這些副本存儲在雲中或不斷更新的外部存儲設備上。

更新2018年12月31日— FilesLocker-Christmas Ransomware

FilesLocker-Christmas Ransomware是一種文件編碼器特洛伊木馬，在聖誕節後不久出現並設法對許多設備上的數據進行編碼。 FilesLocker-Christmas Ransomware通過垃圾郵件分發，其中包括聖誕節風格的數字卡和虛假的社交媒體更新。網絡安全研究人員可以將FilesLocker-Christmas勒索軟件稱為FilesLocker v2.0勒索軟件，因為它是最近發布的FilesLocker Ransomware（2018年12月3日）的新變種。已知新的變體可以對照片，文本，數據庫以及小的音頻和視頻文件進行編碼。攻擊遵循聖誕節主題，在該主題下，用戶的桌面變為具有聖誕樹裝飾和以下消息的喜慶背景圖像：

'您的所有重要文件都已加密！
如果您了解情況的重要性
請閱讀桌面上的“ #DECRYPT MY FILES＃.txt”以與我們聯繫'

此外，FilesLocker-Christmas Ransomware使用Windows 10中的內置語音合成器來讀取以下語句：

'你好，克里斯蒂姆斯，注意！您的文檔，圖像，數據庫和其他重要文件已加密！您的文檔，圖像，數據庫和其他重要文件已加密！您的文檔，圖像，數據庫和其他重要文件已加密！您的文檔，圖像，數據庫和其他重要文件已加密！

編碼的數據保留其原始擴展名，但文件圖標已更改，並且贖金記錄顯示在桌面上。正如您在上面看到的那樣，威脅參與者正在使用一個名為“ #DECRYPT MY FILES＃.txt”的文件向用戶發送消息並提供解密服務。威脅參與者繼續使用“ fileslocker@pm.me”電子郵件帳戶，但贖金通知有所不同。 FilesLocker-Christmas Ransomware將贖金付款從0.25比特幣（≈950美元）提高到0.3比特幣（≈1140美元）。來自FilesLocker-Christmas Ransomware的通知顯示為：

'FilesLocker Ransomware v2.0
您所有重要的文件都已加密！
＃發生了什麼？
您所有重要的文件（數據庫，文檔，圖像，視頻，音樂等）都已加密！只有我們才能解密！
要解密文件，您需要從我們這裡購買解密密鑰。我們是唯一可以為您解密文件的人。
＃注意！
嘗試重新安裝系統並使用第三方工具解密文件會導致文件損壞，這意味著沒有人可以解密您的文件。（包括我們在內）如果您仍然嘗試自己解密文件，請在您自己的計算機上進行解密。個人風險！
＃測試解密！作為證明，您可以通過電子郵件給我們3個文件進行解密，我們將向您發送恢復的文件以證明我們可以對您的文件進行解密。
＃如何解密？
1.買0.3比特幣
2.發送0.3比特幣到付款地址
3.Email您的ID給我們，經過驗證，我們將為您創建一個解密工具。
電子郵件：fileslocker@pm.me'

但是，計算機安全研究人員注意到，可以在錯誤代碼中找到恢復受影響的數據所需的專用解密密鑰。在您閱讀本文時，視聽公司可能會發布免費的解密器。您可能想知道，FilesLocker-Christmas Ransomware（也稱為FilesLocker v2.0）中的私鑰可能會應用於由FilesLocker v1.0 Ransomware加密的數據。最好在系統上安裝備份管理器，並避免依賴FilesLocker開發人員出售的解密服務。

SpyHunter 检测并删除 FilesLocker勒索軟件