Rimuovere Locky Ransomware e Recuperare i File Crittografati .locky

ransomware-on-focus-sensorstechforumUna infezione di ransomware (tipo di malware che blocca l’accesso dell’utente al computer fino a quando non viene pagato un riscatto) è attualmente diffuso in rete ad un ritmo rapido. Il ransomware si chiama Locky e mette l’estensione con lo stesso nome ai file crittografati della vittima. I file cui Locky è diretto sono per lo più documenti. Per eliminare questo ransomware e vedere come si può cercare di ripristinare i file dovete leggere con attenzione questo articolo.

Sommario minaccia

Nome Locky Ransomware
Tipo Ransomware
Breve Descrizione Il ransomware cripta i file con l’algoritmo RSA e AES-128 cifrario, al fine di ottenere una determinata somma di denaro, sotto la forma di riscatto, in cambio di decrittazione dei file interessati.
Sintomi I file sono criptati e non sono più disponibili. Un messaggio di riscatto, sul quale ci sono delle istruzioni per effettuare il pagamento del riscatto, appare sotto la forma di .txt file.
Modo di Transmissione Email di spam, collegati a file di email, reti per la condivisione di file.
Strumento per la scoperta Verificare se il vostro sistema è stato interessato da Locky Ransomware

Scaricare

Strumento per la rimozione di software malevolo (malware)

Strumento Per la Rimozione di Software Malevolo Esperienze degli utenti Partecipate al nostro forum per commentare Locky Ransomware.

Locky Ransomware – Diffusione

Locky ransomware si sta diffondendo in modi diversi. Uno di essi è tramite e-mail di spam contenenti il file malware allegato. Nel caso in cui il file allegato viene aperto, si introduce automaticamente il malware nel computer. Il codice malevolo potrebbe anche essere nascosto nel corpo della e-mail. Questo significa che si può essere infettati solo perché avete aperto una e-mail simile, non importa che non avete contatto con il file allegato.

Un altro modo, tramite il quale il ransomware si diffonde, utilizza l’aiuto delle reti sociali e dei centri per la condivisione di file che possono contenere allegati dannosi o quelli che prendono il carico di Locky ransomware in se stessi. I file possono essere presentati come qualcosa di utile, di cui avete necessità, come un aggiornamento importante, per esempio. Anche la visualizzazione di siti web sconosciuti e inaffidabili e fare clic sui link reindirizzanti possono portare a infezioni da questo malware.

Locky Ransomware – Informazione Tecnica

Locky ransomware è stato classificato dai ricercatori come software malevolo. Se il vostro computer è infettato da software dannoso, si possono creare nuovi valori Windows Registry al fine di assicurare la presenza permanente. Le modifiche in Windows Registry sono per lo più create in queste voci nel registro del sistema.

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/
HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell

Esso è stato già rilevato da alcuni programmi di sicurezza ed è incluso nelle loro definizioni, come è mostrato nel sito VirusTotal:

stf-locky-ransomware-virustotal-virus-total-detections-anti-malware-anti-virus-programs

Poi, il ransomware creerà un file con il nome _Locky_recover_instructions.txt, che comprende il messaggio di riscatto. Le istruzioni in esso descrivono come il riscatto può essere pagato. Il messaggio annuncia:

“!!! INFORMAZIONE IMPORTANTE !!!!
Tutti i vostri file sono criptati con RSA-2048 e codici AES-128.
Ulteriori informazioni su RSA e AES potete vedere qui:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
La decrittazione dei vostri file sarebbe possibile solo utilizzando la chiave riservata e il programma decrittante – tutti sono al nostro server segreto.
Per ottenere una chiave riservata, aprite uno dei seguenti link:
1. hxxp: //6dtxgqam4crv6rr6.tor2web(.)org/[combinazione di lettere e cifre] 2. hxxp: //6dtxgqam4crv6rr6.onion(.)to/[ combinazione di lettere e cifre] 3. hxxp: //6dtxgqam4crv6rr6.onion(.)cab/[ combinazione di lettere e cifre] 4. hxxp: //6dtxgqam4crv6rr6.onion(.)link/[ combinazione di lettere e cifre] Se tutti questi indirizzi non sono attivi, attenersi alla seguente procedura sintetizzata:
1. Scaricare e installare il browser Tor Browser: https://www.torproject.org/download/download-easy(.)html
2. Al termine dell’installazione, avviare il browser e attendere la inizializzazione. 3. Digitare nella barra degli indirizzi: 6dtxgqam4crv6rr6(.)onion / [combinazione di lettere e cifre] 4. Seguire le istruzioni del sito.
!!! Il vostro documento di identità: [combinazione di lettere e cifre] !!!”

Gli utenti di Reddit hanno cliccato su uno dei link citati nel messaggio a scopo di estorsione, e li è stata fornita una immagine su come appare il sito per il pagamento:

stf-locky-ransomware-tor2web-main-ransom-decrypt-website-page-info

Su questo sito si trova un programma ipotetica di Locky Decrypter con la promessa che i vostri file verranno decifrati se pagate. Il contatto con i creatori del ransomware NON è raccomandato. Non vi è alcuna garanzia che i file verranno decifrati con la decrittazione del software di cui sopra. Inoltre, il pagamento ai creatori del ransomware è equivalente a sostenere loro per creare la versione ancora più pericolosa di software dannoso di crittografia più difficile.

Locky ransomware è noto con il fatto che cerca e crittografa i documenti e file di testo. I file che possono essere crittografati, hanno le seguenti estensioni:

1.29em; .doc, .docm, .log, .pap, .info, .gdoc, .asp, .jsp, .json, .xhtml, .txt, .xls, .xlsx, .xml, .docx, .html, .js, .mdb, .odt, .asc, .conf, .msg, .rtf, .cfg, .cnf, .pdf, .php, .ppt, .pptx, .sql

Questo non è un elenco completo delle estensioni – ci possono essere altre estensioni di file che il ransomware cerca per crittografare. Una volta crittografati, i file hanno la .locky estensione. L’algoritmo di crittografia del ransomware, secondo il suo messaggio per il riscatto è una RSA combinato con AES-128 cifre. Questo rende la crittografia molto forte e complicata.

Scopri di più su crittografia AES-128.

Locky ransomware è noto con questo che cripta le posizioni dei file che di solito contengono documenti, come ad esempio:

C:\Users\[UserName]\Documents
Desktop\MyDocs\Downloads
C:\Documents and Settings\Users\My Documents

Per il momento non è noto se Shadow Volume Copies (le copie nascoste) vengono cancellate dal sistema operativo di Windows, ma probabilmente non in questo caso. Dopo la eliminazione del ransomware, sarebbe meglio vedere la terza parte in seguito con le istruzioni fornite, che presenta diversi modi che potrebbero aiutarvi per ripristinare i vostri file.

Eliminare Locky Ransomware e ripristinare i file crittografati .locky

Nel caso in cui siete stati infettati con Locky ransomware, sarebbe meglio se si ha una certa esperienza con la eliminazione di software dannoso. Il ransomware potrebbe bloccare i vostri file in modo da non poterli ripristinarli più. Pertanto, si raccomanda, vivamente, di essere veloci e seguire le istruzioni fornite in seguito, passo dopo passo.

Cancellazione manuale di Locky Ransomware dal vostro computer

Importante! Notifica significante per la minaccia Cerber: L’eliminazione manuale di Cerber richiede un intervento nei file di sistema e nei registri. Quindi, può causare danni al vostro PC. Anche se le vostre capacità informatiche non sono a un livello professionale, non vi preoccupate. Potete eseguire da soli l’eliminazione in 5 minuti, con l’aiuto di uno strumento per la rimozione di software malevolo

1. Avviare il vostro computer in Safe Mode (regime sicuro), al fine di isolare ed eliminare gli oggetti e i file, associati a Locky Ransomware files and objects

Eliminazione automatica di Locky Ransomware tramite il download di un programma moderno per l’eliminazione di software malevolo

1. Eliminazione di Locky Ransomware con SpyHunter Anti-Malware Tool
2. Recuperate i file crittografati da Locky Ransomware
Per scelta: Uso di strumenti software Anti - Malware alternativi

Berta Bilbao

Berta is the Editor-in-Chief of SensorsTechForum. She is a dedicated malware researcher, dreaming for a more secure cyber space.

More Posts - Website

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.