Ransomware Locky

Também Conhecido Como: Locky (vírus)
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware Locky

O que é Locky?

Locky é um ransomware distribuído via ficheiros fraudulentos .doc anexos às mensagens de emails spam. Cada documento word contém texto misturado, que parece ser macros. Quando os utilizadores autorizam as definições macro no programa Word, é descarregue um ficheiro executável (o ransomware). Vários ficheiros são então encriptados. Note que Locky modifica todos os nomes dos ficheiros com 16 letras únicas e combinação de números com uma extensão de ficheiro .locky (.zepto). Por isso, torna-se virtualmente impossível identificar os ficheiros originais. Todos são encriptados usando o algoritmo RSA-2048 e AES-1024 e, por isso, uma chave privada (que é armazenado nos servidores remotos controlados por criminosos virtuais) é necessário para desencriptação. Para desencriptar os ficheiros, as vítimas devem pagar um resgate.

Todos os ficheiros são encriptados, Locky cria um ficheiro .txt adicional em cada pasta contendo os ficheiros encriptados. Também, este ransomware modifica o fundo do ambiente de trabalho do computador. Ambos os ficheiros de textoe fundo de ambiente de trabalho contêm a mesma mensagem que informa os utilizadores sobre a encriptação. Indica que os ficheiros devem ser encriptados usando o desencriptador desenvolvido por criminosos virtuais, que custa 5 BitCoin (no momento da pesquisa, 5 BTC era equivalente a $207.63). Para prosseguir, a vítima deve instalar o navegador Tor e seguir o link fornecido nos ficheiros de texto/fundo de ambiente de trabalho. O website contém instruções de pagamento passo-a-passo. Locky elimina todos os ficheiros nas cópias de volume shadow. No momento da pesquisa nenhuma outra ferramenta era capaz de desencriptar os ficheiros afetados por Locky - a única solução para este problema é restaurar o sistema para a cópia de segurança.

Instruções de desencriptação de Locky

Os resultados de pesquisa mostram que existem centenas de malware de tipo ransomware similares ou idênticas para Locky incluindo, por exemplo, Cryptowall, JobCrypter, UmbreCrypt, TeslaCrypt, e DMA-Locker. Todos têm comportamento idêntico - encriptam ficheiros e exigem um resgate. A única diferença é o tamanho e tipo de algoritmo usado para encriptar os ficheiros. A pesquisa também mostra que não há nenhuma garantia de que os seus ficheiros nunca sejam desencriptados, mesmo que pague o resgate. Ao pagar, está simplesmente a apoiar os negócios fraudulentos dos criminosos virtuais. Por esta razão, nunca deve pagar o resgate ou tentativas para os contactar. Esteja atento que o malware tal como Locky é normalmente distribuído via actualizações de software fraudulentas, redes P2P, anexos de email fraudulentos e trojans. Por isso, é muito importante manter o software instalado atualizado e verificar o que está a descarregar. Esteja atento que ao abrir os anexos de email enviados a partir dos endereços suspeitos e use pacotes anti-spyware ou anti-vírus legítimos.

Abaixo está um screenshot de uma mensagem email usado para a distribuição ransomware Locky. Assunto do email - "A/C: Fatura J-12345678”, anexo infectado - "invoice_J-12345678.doc" (contém macros que descarregam e instalam o ransomware Locky no computador da vítima):

Caro Senhor/Senhora, Por favor verifique em anexo a fatura (Microsoft Word Document) e envie o pagamento de acordo com os terms listados no fundo da fatura. Indique-nos se tem alguma questão. Apreciamos o seu negócio!

anexo de email infectado a distribuir o ransomware Locky

ficheiro de texto _Locky_recover_instructions.txt:

O ficheiro de texto com instruções de pagamento de resgate

O texto apresentado no fundo do ambiente de trabalho e ficheiros .txt. criado por Locky:

!!! INFORMAÇÃO IMPORTANTE !!!!

 

Todos os ficheiros são encriptados com as cifras RSA-2048 e AES-128.
Mais informação sobre RSA e AES pode ser encontrada aqui:


hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

 

Desencriptar os seus ficheiros é apenas possível com a chave privada e o programa de desencriptação, que está no nosso servidor secreto.
Para receber a sua chave privada siga um dos seguintes links:
1. hxxp://6dtxxxxm4crv6rr6.tor2web.org/07Bxxx75DC646805
2. hxxp://6dtxxxxgqam4crv6rr6.onion.to/07Bxxx75DC646805
3. hxxp://6dtxxxxgqam4crv6rr6.onion.cab/07Bxxx75DC646805
4. hxxp://6dtxxxxgqam4crv6rr6.onion.link/07Bxxx75DC646805

 

Se qualquer um destes endereços não estiver disponível, siga estes passos:
1. Desinstale ou instale o Navegador Tor. hxxps://www.torproject.org/download/download-easy.html
2. Após a instalação com sucesso, execute o navegador e aguarde a inicialização.
3. Insira a barra de endereço: 6dtxxxxm4crv6rr6.onion/07Bxxx75DC646805
4. Siga as instruções no site.

 

!!! A sua identificação ID pessoal: 07Bxxx75DC646805 !!!

Screenshot do ambiente de trabalho da vítima atacado pelo ransomware Locky:

o ransomware locky a atacar o computador das vítimas

O website do ransomware Locky a informar as vítimas sobre como pagar o resgate a receber pelo software "Locky Decrypter" - supostamente o software que irá desencriptar os ficheiros comprometidos:

Website a vender o desencriptador Locky

Os tipos de ficheiros objectivados pelo ransomware Locky:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Remoção do ransomware Locky

Remoção imediata automática de Locky (vírus): A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de Locky (vírus). Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo mostra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrão de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo mostra como começar Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus Locky. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo mostra como remover vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e pressione ENTER.

inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, insira a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos escreva cd restore

3. Seguidamente, insira esta linha: rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva cd rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restaure sistemas de ficheiros e definições

5. Seleccione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Locky no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware Locky restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Locky são conhecidas por remover Cópias de Volume Sombra dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controle dos ficheiros encriptados por Locky também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

 Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e Malwarebytes Anti-Ransomware que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como Locky.)

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza qualquer tentativa sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa a tecnologia pró-ativa avançado que monitoriza a actividade do ransomware e termina-a imediatamente - antes de alcançar os ficheiros dos utilizadores:

Malwarebytes Anti-Ransomware Beta

A melhor maneira de evitar danos causados por infecções ransomware é manter cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópia de segurança on-line e software de recuperação de dados Aqui.

Outras ferramentas conhecidas para remover o ransomware Locky:

Fonte: https://www.pcrisk.com/removal-guides/9807-locky-ransomware