Virus con File .thor – Eliminare l’ultimo ceppo di Locky

stf-locky-ransomware-virus-shit-extension-ransom-screen-desktop
Un nuovo ceppo del ransomware Locky è stato rilevato da un giorno all’altro dai ricercatori di software dannoso dopo la scoperta della variante con l’estensione .shit. Gli autori del virus hanno deciso di portare la questione della mitologia norrena nei loro progetti ransomware e possiamo vedere l’estensione .thor aggiunto ai file crittografati. Per vedere come rimuovere il virus e come cercare di ripristinare i file, leggere l’articolo completo.

Sommario del Virus

Nоme .thor files
Tipo Ransomware, Cryptovirus
Breve Descrizione Il ransomware cripta i vostri dati, e mostra un messaggio con le istruzioni per il pagamento.
Sintomi I file crittografati hanno l’estensione .thor su alcuni di loro.
Metodo di distribuzione Le e-mail di posta indesiderata (spam), File allegati alle email (.wsf, .js, .hta, .zip, .vbs, .bin), Documenti Google
Strumento di controllo/span> Controllare se il vostro sistema è stato infettato con
.thor files

Download

Malware Removal Tool

Strumento di recupero dati Windows Data Recovery by Stellar Phoenix Nota! Questo prodotto esegue la scansione dei settori del disco rigido per recuperare i file persi. Non si può garantire il recupero di 100% dei file criptati, ma solo alcuni di essi, a seconda della situazione e se avete riformattato il disco.

LockyRansomware – Distribuzione

L’ultima versione del ransomware Locky utilizza i server di comando e controllo come mezzo di distribuzione. Le e-mail di spam con un corpo di testo vuoto contengono allegati che mettono un downloader sul vostro PC. Da lì, il downloader assembla il ransomware e cifra i vostri dati. Gli allegati alle e-mail sembrano legittimi, visto che il nome, l’indirizzo e l’email del mittente si possono contraffare e sembrare mandate dalle società reali con dati reali dei loro dipendenti. Gli allegati contengono degli script o downloader ed i tipi di file utilizzati sono .wsf, .js, .hta, .zip, .vbs et .bin.

Un esempio di tale tipo di file rilevato da Payload Security:

stf-locky-ransomware-virus-thor-extension-payload-security-command-and-control-servers-budget-xls-vbs-file-c2-linuxsucks-php

Locky ransomware può anche essere diffuso attraverso i social network ed i siti di condivisione di file. Una delle piattaforme citate per la distribuzione di file dannosi è Google Docs. Non aprire i link, allegati e file che sono di origine sospetta o sconosciuta. Prima di aprire i file, assicurarsi che non presentano i tipi di cui sopra, inclusi i file .exe. Inoltre, si consiglia di fare sempre una scansione con uno strumento di sicurezza e controllare i file per le loro firme e dimensioni. È possibile leggere di più su questo soggetto nei consigli di prevenzione di ransomware riportati nel nostro forum.

LockyRansomware – Descrizione

Locky ransomware utiliza una nuova estensione ai file crittografati ed è l’estensione .thor . Possiamo dire che i cryptovirus tornano alle proprie radici – cioè i criminali informatici si rivolgono alla mitologia norrena. La maggior parte delle estensioni utilizzate dal ransomware portano i nomi Thor, Odin, y Loki, che sono tutti Dei della mitologia norrena. Tuttavia, i truffatori potevano avere in mente i fumetti di Marvel ed i film ritratti dei Dei. Una cosa ancora più interessante – Heimdallr è anche un Dio nordico (figlio di Odino) e Heimdal Security porta il suo nome. Si fanno beffe i creatori di software dannoso di Heimdal Security? O dai programmi contro il software dannoso in generale?
Il virus utilizza dei server C2 (di comando e controllo) per fornire i suoi file di payload, come descritto nella sezione precedente. I file contengono uno script malevolo che scarica un file .dll sul computer. Una volta eseguito, il computer viene infetto. È possibile vedere alcuni dei server C2 qui:

  • 185.102.136.77:80/linuxsucks.php
  • 91.200.14.124:80/linuxsucks.php
  • 91.226.92.225:80/linuxsucks.php
  • 77.123.14.137:221/linuxsucks.php
  • yptehqhsgdvwsxc.biz/linuxsucks.php
  • fvhnnhggmck.ru/linuxsucks.php
  • krtwpukq.su/linuxsucks.php
  • tdlqkewyjwakpru.ru/linuxsucks.php

Lockyransomware possono essere scaricati da molti siti di download, alcuni dei quali sono elencati di seguito.

Elenco dei siti di download dei payload

http://alkanshop.com/zrwcx8om
http://bwocc.org/dkttu
http://circolorisveglio.com/dw2hheb
http://cz1321.com/zg4c4m
http://disneyrentalvillas.com/k2ars5j2
http://downtownlaoffice.com/ixmh1
http://duvalitatli.com/umx3btc1
http://executivegolfmanagement.com/qtzsegm6
http://firephonesex.com/bxuobuam
http://fjbszl.com/m4q1pmr5
http://fraildata.net/09rz1jcj
http://fraildata.net/4s1szk77
http://fraildata.net/9b8cba
http://getitsold.info/cndrdsu9
http://girlsoffire.com/d2k0b967
http://gruffcrimp.com/352gr0
http://gruffcrimp.com/5inrze
http://gruffcrimp.com/8vzak
http://gruffcrimp.com/bki56h
http://gunnisonkoa.com/d5cw6
http://gzxyz.net/zznej
http://hetaitop.com/pgq8e
http://iwebmediasavvy.com/eu7mq36w
http://jejui.com/j1ldsf
http://julianhand.com/hollu
http://jzmkj.net/y7tf2
http://kak-vernut-devushku.gq/rwlr9
http://kirijones.net/2b8fnrqm
http://kirijones.net/4v7574mp
http://kirijones.net/66wey
http://kirijones.net/a2r3pme
http://nightpeople.co.il/o8le7
http://onlysalz.com/xjo100
http://pblossom.com/t78u8
http://potchnoun.com/06p2vxua
http://potchnoun.com/38j2xn
http://potchnoun.com/8x2nt
http://privateclubmag.com/wyztr73
http://prodesc.net/x7nlxq
http://relentlesspt.com/faisexor
http://riyuegu.net/o69ecb
http://royallife.co.uk/mx5nck
http://ryanrandom.com/hwv97p8
http://sexybliss.co.uk/en8ds7nt
http://taiyuwanli.com/cpkd9
http://theleadershipdoc.com/wm1bv
http://turservice.xaker007.net/k92b92
http://ukdistributionservices.com/x1397
http://vowedbutea.net/2f1okfif
http://vowedbutea.net/5491o
http://vowedbutea.net/8jtnj8nt
http://vowedbutea.net/apupuyh3
http://xn--b1aajgfxm2a9g.xn--p1ai/dxd3v
http://yourrealestateconnection.us/rlfh0

Una volta eseguito il file .DLL, lo stesso cifra i vostri file e viene visualizzata una richiesta di riscatto. Copie di questa nota appariranno nella directory con il nome _WHAT_is. Uno di questi è un file .bmp e l’altro è un file .html, in cui il file di immagine viene impostato come sfondo del desktop.

La nota di riscatto del virus è la stessa che la de la estensione .shit:

stf-locky-ransomware-virus-shit-extension-ransom-screen-desktop

Quando viene caricato il file _WHAT_is.html, si vedrà in modo seguente:

stf-locky-ransomware-virus-thor-thor-extension-ransom-note-html

Il testo è il seguente:

!!! INFORMAZIONE IMPORTANTE!!!
Tutti i vostri file sono criptati con RSA-2048 e la crittografia AES-128.
Maggiori informazioni sulla RSA e AES si possono trovare qui:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decifrare i file è possibile solo con una chiave privata e un programma di decodifica, che si trovano sul nostro server segreto.
Per ricevere la chiave privata seguire uno dei link:
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
Se questi indirizzi non sono disponibili, effettuare le seguenti operazioni:
1. Scaricare e installare il Browser Tor: https://www.torproject.org/download/download-easy.html
2. Dopo l’installazione, avviare il browser e attendere l’inizializzazione.
3. Digitare nella barra degli indirizzi: jhomitevd2abj3fk.onion/5DYGW6MQXIPQSSBB
4. Seguire le istruzioni sul sito.
!!! Il tuo ID di identificazione personale: 5DYGW6MQXIPQSSBB !!!

El virus Locky lleva al servicio con las instrucciones de pago que hemos visto en las versiones anteriores. Se hace acceso al servicio si se introduce el nombre de un archivo cifrado (esto se hace para limitar el acceso al servicio). Se puede ver el sitio escondido en la red TOR en la imagen de abajo:

stf-locky-ransomware-virus-thor-extension-locky-decryptor-page-payment-instructions

Il Lockyransomware non ha varianti che sono stati decifrati, e lo stesso codice viene rilasciato dagli stessi autori. Gli utenti precedentemente infettati con una variante precedente di questo virus hanno riferito che non sono stati in grado di recuperare i suoi dati, anche dopo aver pagato il riscatto. Per questo motivo, non è da considerare di contattare i truffatori o pagarli. Ovviamente, i truffatori simplementе continuaranno a creare altri virus ransomware.
I tipi di file attualmente criptati da Locky sono oltre 400 e hanno le seguenti estensioni:

→txt, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .java, .jpg, .jpeg, .bmp, .tiff, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, m11, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .arc, .paq, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .nef, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .mdb, .sql, .sqlitedb, .sqlite3, .pst, .onetoc2, .asc, .lay6, .lay, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .dot, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott, .odt, .doc, .pem, .csr, .crt, .key

Tutti i file cifrati hanno l’estensione .thor aggiunta a loro ei loro nomi si trasformano in simboli casuali. L’algoritmo di crittografia che Locky pretende utilizzare secondo la nota di riscatto è RSA-2048 con cifre 128-bit AES e questo sembra essere vero.

Il cryptovirus Locky quasi sicuramente eliminarà i Shadow Volume Copies dal sistema operativo Windows con la seguente riga di comando:

→vssadmin.exe delete shadows /all /Quiet

Potete continuare a leggere per vedere come rimuovere questo ransomware e controllare quali sono i metodi che si possono utilizzare per cercare di decifrare alcuni dei vostri file.

Rimuovere il LockyRansomware e Recuperare i File los archivos .thor

Se il vostro computer è stato infettato con il virus Locky ransomware, dovrete avere una certa esperienza nella rimozione di malware. Dovrete sbarazzarvi di questo ransomware il più presto possibile prima di poter avere la possibilità di diffondersi ulteriormente e infettare altri computer. È necessario rimuovere il ransomware e seguire le istruzioni passo a passo seguendo la guida qui di seguito. Per capire come potete tentare di recuperare i vostri dati, vedere il passo 2. Recuperare i file crittografati da Locky.

Importante! Notifica significante per la minaccia .thor files: L’eliminazione manuale di .thor files richiede un intervento nei file di sistema e nei registri. Quindi, può causare danni al vostro PC. Anche se le vostre capacità informatiche non sono a un livello professionale, non vi preoccupate. Potete eseguire da soli l’eliminazione in 5 minuti, con l’aiuto di uno strumento per la rimozione di software malevolo

1. Avviare il vostro computer in Safe Mode (regime sicuro), al fine di isolare ed eliminare gli oggetti e i file, associati a .thor files files and objects

Avviare il vostro computer in Safe Mode (regime sicuro)

1. Per Windows 7, XP e Vista. 2. Per Windows 8, 8.1 e 10. Fissare voci di registro create da .thor files sul PC.

Per i sistemi operativi WindowsXP, Vista e 7:

1. Rimuovere tutti i CDs e DVDs, e quindi riavviare il computer dal menu “Start”.
2. Selezionare una delle due opzioni, esposte in seguito:

per i computer con unico sistema operativo: Premere ripetutamente il tasto “F8” durante il riavvio del vostro computer, dopo che appaia la prima schermata dell’avvio. Se il logo di Windows viene visualizzato sullo schermo, sarà necessario ripetere le stesse azioni.

donload_now_140

Per i computer con più sistemi operativi: I tasti freccia vi aiuteranno a selezionare il sistema operativo da avviare in “Safe Mode”. Premere il tasto “F8” nello stesso modo descritto sopra per i computer con unico sistema operativo.

donload_now_140

3. Dopo che viene visualizzata la schermata “Advanced Boot Options”, selezionare l’opzione Safe Mode desiderata, utilizzando i tasti freccia. Una volta effettuata la selezione, premere “Enter”.

4. Accedere al computer utilizzando il vostro account amministrativo.

donload_now_140

Mentre il computer è in Safe Mode, le parole “Safe Mode” appariranno in ciascuno dei quattro angoli del vostro schermo .

Fase 1: Aprire il menu Start.

donload_now_140

Fase 2: Tenendo premuto il tasto Shift, fare clic su Power, quindi su Restart.

Fase 3: Dopo il riavvio verrà visualizzato il menu menzionato sotto. Da lì si dovrebbe scegliere Troubleshoot.

donload_now_140

Fase 5: Una volta che il menu „Advanced Options“ si apre, fare clic su “Startup Settings“.

donload_now_140

donload_now_140

Fase 6: Fare clic su “Restart”.

donload_now_140

Fase 7: Vi verrà chiesto di riavviare. Si dovrebbe scegliere Safe Mode, premendo il numero corrispondente, in questo modo la macchina si riavvia.

Alcuni script dannosi possono modificare le voci di registro del computer per modificare le impostazioni diverse. Questo è il motivo per cui manuale di pulizia del database del Registro di Windows è fortemente raccomandato. Dal momento che il tutorial su come fare questo è un po ‘questo lento, si consiglia di seguendo il nostro articolo istruttivo su come risolvere le voci di registro.

Eliminazione automatica di .thor files tramite il download di un programma moderno per l’eliminazione di software malevolo

1. Eliminazione di .thor files con SpyHunter Anti-Malware Tool

Eliminazione .thor files con SpyHunter Anti-Malware Tool

1. Installare SpyHunter, al fine di eseguire la scansione e rimuovere .thor files.2. Eseguire la scansione con SpyHunter, al fine di rilevare e rimuovere .thor files. Eseguire un backup dei vostri dati per proteggerli da future infezioni da .thor files.
Fase 1: Fare clic sul pulsante „Download”, per passare alla pagina di download di Spy Hunter.

È altamente raccomandato di eseguire una scansione prima di ordinare la versione completa del software per assicurarsi che questa versione di malware può essere rilevata da Spy Hunter.

Fase 2: Seguire le istruzione per il download a disposizione per qualsiasi browser.
Fase 3: Una volta installato Spy Hunter, attendere che si aggiorni da solo.

pets-by-myway-ads-virus

Fase 1: Una volta che il processo di aggiornamento è terminato, fare clic sul pulsante ‘Scan Computer Now’ button.

pets-by-myway-ads-virus
Fase 2: Dopo che Spy Hunter ha terminato la scansione del vostro computer per I file .thor files, fare clic sul pulsante “Fix Threats”, per eliminarli automaticamente e in modo permanente.

pets-by-myway-ads-virus

Fase 3: Una volta che le infiltrazioni nel vostro computer sono eliminate, si consiglia vivamente di riavviarlo.

Back up your data to secure it against attacks in the future

Importante! Prima di leggere le istruzioni per fare una copia di riserva di Windows, vi raccomandiamo vivamente di eseguire automaticamente backup dei vostri dati nel cloud e assicurarli contro qualsiasi tipo di perdita di dati dal dispositivo, anche contro le più serie. Vi invitiamo di leggere di più sul tema di backup e scaricare SOS Online Backup.

2. Recuperate i file crittografati da .thor files

Restore Files Encrypted by .thor files

Gli ingegneri di sicurezza raccomandano fortemente agli utenti di NON pagare riscatti e provare a recuperare i file danneggiati utilizzando altri metodi. Ecco alcuni suggerimenti:
Per ripristinare i dati, il vostro primo compito sarà quello di controllare di nuovo per copie nascoste in Windows, utilizzando questo software:

Se questo metodo non funziona, Kaspersky i EmsiSoft ha fornito dei descryptor per i file crittografati con questo e con altri algoritmi:

Un altro modo per recuperare i file, attraverso il quale potete provare a recuperare i file è il software per il ripristino dei dati. Ecco alcuni esempi di programmi per il recupero dei dati:

C’è anche una opzione tecnica di utilizzare sniffer di rete (programma per computer che rileva e registra diversi tipi di informazioni riservate, in particolare le password segrete, necessarie per accedere ai file o alle reti):

Altro modo di decifrare i file è tramite Network Sniffer (Sniffer di rete), per ottenere la chiave per crittografia, mentre i file sono criptati al vostro computer. Network Sniffer è un programma e/o dispositivo, con cui si effettua la supervisione del flusso di informazioni in una rete, come il traffico Internet o i pacchetti Internet. Se avete un programma sniffer, istallato prima che accade l’attacco, voi potete ottenere informazione sulla chiave per la decrittazione. Per avere ulteriori informazioni fare clic sul seguente articolo .

Per scelta: Uso di strumenti software Anti - Malware alternativi
STOPZilla AntiMalware
1. Scaricare e installare STOPZilla Anti-malware, al fine di eseguire la scansione ed eliminare .thor files.
Fase 1: Scaricare STOPZilla cliccando qui..
Fase 2: Apparirà una finestra pop-up. Cliccare sul pulsante ‘Save File’. Nel caso in cui non viene conservato, cliccare sul pulsante di download per salvarlo in seguito.

pets-by-myway-ads-virus

Fase 3: Dopo aver scaricato la configurazione, sarà necessario solo aprirla.
Fase 4: Dovrebbe apparire la finestra per l’installazione. Fare clic sul pulsante ‘Next’.

pets-by-myway-ads-virus
Fase 5: Segnare il cerchio corrispondente a ‘I accept the agreement’
pets-by-myway-ads-virus
Fase 6: Controllare di nuovo e dopo premere il pulsante ‘Install’.
pets-by-myway-ads-virus
Fase 7: Una volta che il processo di installazione è terminato, premere il pulsante ‘Finish’.

2. Eseguire la scansione del computer con STOPZilla AntiMalware, al fine di eliminare automaticamente tutti i file, associati a .thor files.
Fase 1: Avviare STOPZilla se non lo avete ancora fatto dopo il processo di installazione.
Fase 2: Attendere che il software si aggiorni automaticamente e dopo cliccare sul pulsante ‘Repair Now’. Se non si avvia la scansione automatica, premere il pulsante ‘Scan Now’.
pets-by-myway-ads-virus
Fase 3: Dopo aver eliminato tutte le minacce e oggetti associati al software malevolo, si consiglia di riavviare il computer.

Latest Stories

*/ ?>

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.