Rimuovere i .shit Virus File (Il Nuovo Locky Ransomware)

header-bitcoin-stforum

L’ultima versione del ransomware Locky è già presente. Ora i file sono criptati con una nuova estensione – .shit, ma è possibile che appaiono anche altre estensioni. Il Cryptovirus ora utilizza i file HTML (.hta) e fa sì che il server di comando e controllo (C&C) fornisca il suo file di payload. Per vedere come rimuovere il ransomware e come cercare di ripristinare i dati, leggere attentamente il seguente articolo.

Informazione riassunta sulla minaccia

Nome Locky Ransomware
Tipo Ransomware, Cryptovirus
Breve descrizione I file dell’utente sono criptati e inutilizzati.
Sintomi Sarà visualizzata una richiesta di riscatto alla vittima.
Modi di trasmissione Tramite file malware allegati.
Strumento per la scoperta Controllate se il vostro sistema è stato contagiato da Locky Ransomware

Scarica

Strumento per la rimozione di software malevolo
(malware)

Esperienze degli utenti Partecipate al nostro forum per commentare Locky Ransomware.

Locky Ransomware – Distribuzione

L’ultima versione del ransomware Locky utilizza i server di comando e controllo come mezzo di distribuzione. I server spingono l’ultimo payload per il Cryptovirus. Il payload file viene visualizzato in due formati – come un file HTML o come un downloader JScript. Rispettivamente hanno le estensioni – .hta et .wsf / .js. Questi file possono essere in una .zip per una rilevazione più difficile dal software di sicurezza. Si può vedere il rilevamento di tale file senza che sia oscurato in un archivio sul sito del VirusTotal:

stf-locky-ransomware-virus-shit-extension-virustotal-detections-payload-file-receipt

La maggior parte dei file di payload hanno il nome Receipt con cifre casuali dopo, così sembrano una fattura o ricevuta legittima. Il testo del messaggio di tale e-mail si può vedere qui sotto:

De: Free Haut Debit
Date: Lun, 24 Oct 2016
Sujet: [Espace] Notification de facture Freebox (95854808)
Bonjour,
Vous trouverez ci-jointe votre facture Free Haut Debit.
Le total de votre facture est de 75.09 Euros.
Nous vous remercions de votre confiance.
L’equipe Free
Fichier joint: Facture_Free_201610_6292582_95854808.zip

Da: Free Haut Debit
Data: Lun, 24 Ott 2016
Oggetto: [Spazio] Notifica di fattura Freebox (95854808)
Buongiorno,
La preghiamo di trovare in allegato la Sua fattura Free Haut Debit.
L’ammontare totale della fattura è di 75.09 Euro.
Grazie per la Sua fiducia.
La Squadra Free
File allegato: Fattura_Free_201610_6292582_95854808.zip

Questa email è in francese perchè Francia è uno dei paesi più colpiti insieme con il Regno Unito, la Germania, l’Arabia Saudita, la Polonia e la Serbia, secondo i ricercatori di malware MalwareHunterTeam. Le e-mail sembrano come se contenessero un messaggio di una fattura legittima. Il messaggio mostrato qui sopra cerca di sorprendere l’utente facendogli credere che egli deve pagare 75 euro a una società o per un servizio. Concentrandosi sul«debito», la maggior parte degli utenti, che non sono consapevoli del ransomware, apriranno il file allegato per vedere di che cosa si tratta.

Un’altra variante di una lettera spam relativa alla nuova campagna in inglese:

From: “Dee Compton”
Subject: Complaint letter
Date: Mon, 24 Oct 2016
Dear [Your email name],
Client sent a complaint letter regarding the data file you provided.
The letter is attached.
Please review his concerns carefully and reply him as soon as possible.
Best regards,
Dee Compton
Attachment: saved_letter_C10C6A2.js

Locky Locky ransomware potrebbe diffondersi anche nelle media sociali e attraverso i siti di condivisione di file. Si consiglia di evitare i collegamenti sospetti o sconosciuti, gli allegati e tutti i file in genere. Prima di aprire un file, fare sempre la scansione con un’applicazione di sicurezza. Si consiglia inoltre di leggere i consigli di prevenzione ransomware nel nostro forum.

Locky Ransomware – Analisi

E’ stata scoperta una nuova tendenza di Locky ransomware. Il Cryptovirus porta i server C2 (server di comando e controllo) di nuovo nella loro modalità di distribuzione del payload come descritto di cui sopra. Questo comporta la consegna estremamente veloce dello script dannoso che rilascia il virus sul computer infetto. Si possono vedere in anteprima alcuni dei server C2 qui:

  • 185.102.13677:80/linuxsucks.php
  • 91.200.14124:80/linuxsucks.php
  • 109.234.35215:80/linuxsucks.php
  • bwcfinntwork:80/linuxsucks.php

Tuttavia, sono state osservate alcune versioni di Locky ransomware con l’estensione .shit, che non uttilizzano i server C2, ma un file .DLL nel suo punto di ingresso, diventando in questo modo uno strumento offline per infettare le macchine informatiche, senza raggiungere alcun percorso di download.

Lista con alcuni siti di scarica di payload

Dopo l’esecuzione del payload, i vostri file verranno crittografati, e apparirà una richiesta di riscatto. Una copia della nota di richiesta verrà creata nei file con il nome _WHAT_is.bmp.

La richiesta di riscatto con le istruzioni sarà impostata come sfondo, essendo la stessa come quella delle versioni precedenti (compresi gli errori grammaticali):

stf-locky-ransomware-virus-shit-extension-ransom-screen-desktop

Il testo è il seguente:

!!! INFORMAZIONE IMPORTANTE!!!
Tutti i vostri file sono criptati con RSA-2048 e la crittografia AES-128.
Maggiori informazioni sulla RSA e AES si possono trovare qui:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decifrare i file è possibile solo con una chiave privata e un programma di decodifica, che si trovano sul nostro server segreto.
Per ricevere la chiave privata seguire uno dei link:
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
Se questi indirizzi non sono disponibili, effettuare le seguenti operazioni:
1. Scaricare e installare il Browser Tor: https://www.torproject.org/download/download-easy.html
2. Dopo l’installazione, avviare il browser e attendere l’inizializzazione.
3. Digitare nella barra degli indirizzi: jhomitevd2abj3fk.onion/5DYGW6MQXIPQSSBB
4. Seguire le istruzioni sul sito.
!!! Il tuo ID di identificazione personale: 5DYGW6MQXIPQSSBB !!!

Il virus Locky vi collega a un dominio di rete nascosta dal servizio TOR (ma non ospitato sulla stessa). Il servizio che carica ne ha lo stesso aspetto di quello dei suoi predecessori.

stf-locky-ransomware-virus-shit-extension-locky-decryptor-page-payment-instructions

Il Ransomware Locky deve ancora essere sconfitto perché la sua crittografia è molto forte e i ricercatori non hanno ancora trovato difetti nel codice del virus. Le vittime delle precedenti iterazioni del ransomware riferiscono che non erano in grado di recuperare i propri file anche dopo aver pagato ai criminali informatici. Per questo motivo, non è da considerare di contattare i truffatori o pagarli. Come si è visto fino a quel momento, i criminali continueranno a fare più campagne ransomware.

Attualmente, non è disponibile un elenco completo dei tipi di file che diventano crittografati, ma sono stati riportati i file con le seguenti estensioni come crittografati:

→.txt, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .java, .jpg, .jpeg, .bmp, .tiff, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .arc, .paq, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .nef, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .mdb, .sql, .sqlitedb, .sqlite3, .pst, .onetoc2, .asc, .lay6, .lay, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .dot, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott, .odt, .doc, .pem, .csr, .crt, .key

I file crittografati avranno l’estensione .shit aggiunta alla fine del loro nome. L’algoritmo di crittografia che si ritiene essere utilizzato da Locky è RSA-2048 con cifrature AES 128-bit.

Questo nuovo tipo di ransomware Locky probabilmente cancellerà i Shadow Volume Copies dal sistema operativo Windows utilizzando il seguente comando:

→vssadmin.exe delete shadows /all /Quiet

Continuate a leggere per capire come rimuovere il ransomware e vedere quali sono i metodi che si possono provare per decifrare alcuni dei vostri dati del file.

Locky Virus entfernen und .shit Files Wiederherstellen

FSe il vostro computer è stato infettato con il virus Locky ransomware, dovrete avere una certa esperienza nella rimozione di malware. Dovrete sbarazzarvi di questo ransomware il più presto possibile prima di poter avere la possibilità di diffondersi ulteriormente e infettare altri computer. È necessario rimuovere il ransomware e seguire le istruzioni passo a passo seguendo la guida qui di seguito. Per capire come potete tentare di recuperare i vostri dati, vedere il passo “2. Recuperare i file crittografati da Locky ransomware.

Cancellazione manuale di Cerber dal vostro computer

Importante! Notifica significante per la minaccia Cerber: L’eliminazione manuale di Cerber richiede un intervento nei file di sistema e nei registri. Quindi, può causare danni al vostro PC. Anche se le vostre capacità informatiche non sono a un livello professionale, non vi preoccupate. Potete eseguire da soli l’eliminazione in 5 minuti, con l’aiuto di uno strumento per la rimozione di software malevolo

1. Avviare il vostro computer in Safe Mode (regime sicuro), al fine di isolare ed eliminare gli oggetti e i file, associati a Locky Ransomware files and objects

Eliminazione automatica di Locky Ransomware tramite il download di un programma moderno per l’eliminazione di software malevolo

1. Eliminazione di Locky Ransomware con SpyHunter Anti-Malware Tool
2. Recuperate i file crittografati da Locky Ransomware
Per scelta: Uso di strumenti software Anti - Malware alternativi

Berta Bilbao

Berta is the Editor-in-Chief of SensorsTechForum. She is a dedicated malware researcher, dreaming for a more secure cyber space.

More Posts - Website

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.