Ransomware Locky Imposter

Também Conhecido Como: Vírus Locky Imposter
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware Locky Imposter

O que é Locky Imposter?

É o primeiro malware descoberto pelo pesquisador de segurança, dao ming si, Locky Imposter (também conhecido como "PyLocky") é um tipo de vírus de resgate que imita outro ransomware de alto risco de infecção denominado Locky. Depois de sorrateiramente se infiltrar no sistema, Locky Imposter encripta os dados a usar os algoritmos RSA e AES de encriptação, cria uma cópia de cada ficheiro e, em seguida, acrescenta nomes de ficheiros com a extensão ".locky" (por exemplo, "sample.jpg" é renomeado para "sample.jpg.locky"). Atualizado variantes deste ransomware use ".lockedfile" para ficheiros encriptados. Finalmente, há duas cópias de cada ficheiro existente (um com o nome original e extensão, e outro com a extensão ".locky"), ambos são encriptadas e inutilizáveis. Assim que os dados são encriptados, Locky Imposter gera um ficheiro de texto (denominado "LOCKY-README.TXT") e coloca uma cópia em cada pasta existente.

Como habitualmente, o novo ficheiro de texto contém uma mensagem informando os utilizadores da encriptação e incentivando-os a visitar o website do Locky Imposter e adquirir a ferramenta de desencriptação. Note, no entanto, é que a mensagem está em inglês, francês, italiano e coreano. Portanto, é seguro supor que os desenvolvedores objetivam utilizadores, principalmente, desses países associados. Como mencionado acima, Locky Imposter usa encriptações RSA e AESs. Por conseguinte, cada vítima recebe duas chaves únicas que são necessárias para restaurar os dados. Todas as chaves são armazenadas num servidor remoto controlado por criminosos virtuais e os utilizadores são encorajados a adquirir as ferramentas de desencriptação com chaves incorporadas. É também afirmou que o pagamento deve ser apresentado no prazo de 96 horas, caso contrário, Chaves de desencriptação são excluídos. O custo não é especificado, mas normalmente oscila entre $500 e $1500. De qualquer forma, não importa o custo, não pagam. Os criminosos virtuais são muito propensos a ignorar as vítimas, uma vez que os pagamentos são apresentados. Por isso, pagando normalmente não dá resultado positivo e os utilizadores são scammed. Portanto, é altamente recomendável que ignorar todos os pedidos para a compra de ferramentas de desencriptação. Não existem ferramentas capazes de encriptações de algoritmos RSA e AES e o restauro de dados grátis. Portanto, a única solução é restaurar tudo a partir de uma cópia de segurança.

Screenshot de uma mensagem a incentivar os utilizadores a pagar um resgate para desencriptar os seus dados comprometidos:

instruções de desencriptação de Locky Imposter

Existem dezenas de ransomware, tais como vírus de tipo Locky Imposter. A lista de exemplos inclui (mas não está limitado a) CryptoConsoleTQVCryptesJigsaw, e Deep. Note que embora estes vírus sejam desenvolvidos por diferentes criminosos virtuais, o seu comportamento difere - todos encriptam dados e fazem pedidos de resgate. Normalmente, existem apenas duas diferenças principais: 1) Custo de desencriptação, e; 2) O tipo de algoritmo de encriptação usado. É lamentável que a maioria do ransomware utiliza algoritmos que geram chaves de desencriptação exclusivas. Portanto, a menos que o vírus não esteja totalmente desenvolvido ou tenha alguns bugs/falhas (por exemplo, a chave é altamente codificado, armazenados localmente ou similar), os restauro de dados sem envolvimento de desenvolvedores (entre em contato com estas pessoas não é recomendado) é impossível. Ransomware apresenta um caso forte para manter cópias de segurança de dados regulares, no entanto, é importante guardá-los num servidor remoto (por exemplo, Nuvem) desligado ou dispositivo de armazenamento. Se não, os cópias de segurança são encriptadas com dados regulares.

Como é que o ransomware infectou o meu computador?

O ransomware é proliferado de várias formas, no entanto, os cinco mais populares são: 1 trojans); 2) anexos de e-mails de spam infecciosos [3];) peer-to-peer [P2P] [redes de torrents, eMule, etc.]; 4) software de terceiros fontes de descarregamento [descarregamento do freeware websites, sites de hospedagem de ficheiros grátis, etc.], e; 5) atualizadores de software falsos. Os trojans abre "backdoors" para outros vírus se infiltrarem no sistema. Os anexos mal-intencionados normalmente vêm no formato de ficheiros JavaScript ou documentos do MS Office. Assim que aberto, esses ficheiros, executar comandos que descarregar e instalar malware. As redes P2P e outras fontes de descarregamento não oficiais presentes de malware como software legítimo. Desta forma, muitos utilizadores estão enganados ao descarregar e instalar malware. Os atualizadores falsos infectam o sistema através da exploração de falhas/bugs de software desatualizado ou simplesmente fazer o descarregamento e instalar malware em vez de atualizações.

Como se proteger de infecções ransomware?

A falta de conhecimento e comportamento descuidado são as razões principais para a infecção do computador. Cuidado é a chave para a segurança do computador. Portanto, preste muita atenção ao navegar na Internet e descarregar/instalar/atualizar o software. Pense duas vezes antes de abrir anexos de email. Os ficheiros que parecem irrelevantes ou tenham sido recebidos a partir de endereços de e-mail suspeito nunca devem ser abertos. Além disso, transfira os seus programas apenas de fontes oficiais (via descarregamento direto links) em vez de usar o descarregadores/instaladores de terceiros. Essas ferramentas incluem frequentemente aplicações não autorizadas, e, por conseguinte, utilizá-las não é recomendado. Além disso, mantenha os aplicações instalados atualizadas. Para isso, no entanto, utilizar as funções implementadas ou ferramentas fornecidas pelo desenvolvedor oficial apenas. Ter um pacote antivírus/anti-spyware instalado e em execução é fundamental. Se o seu computador já está infectado com Locky Imposter, recomendamos fazer a verificação com Spyhunter para eliminar automaticamente este ransomware.

Texto apresentado no ficheiro de texto do ransomware Locky Imposter ("LOCKY-README.TXT"):

Please be adviced:
All your files, pictures document and data has been encrypted with Military Grade Encryption RSA AES-256.
Your information is not lost. But Encrypted.
In order for you to restore your files you have to purchase Decrypter.
Follow this steps to restore your files.
1* Download the Tor Browser. ( Just type in google "Download Tor" ).
2* Browse to URL : http://4wcgqlckaazugwzm.onion/index.php
3* Purchase the Decryptor to restore your files.
It is very simple. If you don't believe that we can restore your files, then you can restore 1 file of image format for free.
Be aware the time is ticking. Price will be doubled every 96 hours so use it wisely.
Your unique ID : -
CAUTION:
Please do not try to modify or delete any encrypted file as it will be hard to restore it.
SUPPORT:
You can contact support to help decrypt your files for you.
Click on support at http://4wcgqlckaazugwzm.onion/index.php

--------BEGIN BIT KEY---------
-
--------END BIT KEY-----------
------------------------------
BEGIN FRENCH
------------------------------
S'il vous plaît soyez avisé:
Tous vos fichiers, images, documents et données ont été cryptés avec Military Grade Encryption RSA AES-256.
Vos informations ne sont pas perdues. Mais chiffré.
Afin de vous permettre de restaurer vos fichiers, vous devez acheter Decrypter.
Suivez ces étapes pour restaurer vos fichiers.
1 * Téléchargez le navigateur Tor. (Il suffit de taper google "Télécharger Tor").
2 * Aller à l'URL: http://4wcgqlckaazugwzm.onion/index.php
3 * Achetez le Decryptor pour restaurer vos fichiers.
C'est très simple. Si vous ne croyez pas que nous pouvons restaurer vos fichiers, alors vous pouvez restaurer 1 fichier de format d'image gratuitement.
Soyez conscient que le temps est compté. Le prix sera doublé toutes les 96 heures, alors utilisez-le à bon escient.
Votre ID unique: -
MISE EN GARDE:
N'essayez pas de modifier ou de supprimer un fichier crypté, car il sera difficile de le restaurer.
SOUTIEN:
Vous pouvez contacter le support pour aider à déchiffrer vos fichiers pour vous.
Cliquez sur support à http://4wcgqlckaazugwzm.onion/index.php
------------------------------
END FRENCH
------------------------------
------------------------------
BEGIN ITALIAN
------------------------------
Si prega di essere avvisati:
Tutti i tuoi file, immagini, documenti e dati sono stati crittografati con Military Grade Encryption RSA AES-256.
Le tue informazioni non sono perse. Ma crittografato.
Per poter ripristinare i tuoi file devi acquistare Decrypter.
Seguire questa procedura per ripristinare i file.
1 * Scarica il Tor Browser. (Basta digitare su google "Download Tor").
2 * Passa a URL: http://4wcgqlckaazugwzm.onion/index.php
3 * Acquista Decryptor per ripristinare i tuoi file.
È molto semplice Se non credi che possiamo ripristinare i tuoi file, puoi ripristinare 1 file di formato immagine gratuitamente.
Sii consapevole che il tempo stringe. Il prezzo sarà raddoppiato ogni 96 ore, quindi usalo saggiamente.
Il tuo ID univoco: -
ATTENZIONE:
Si prega di non provare a modificare o eliminare alcun file crittografato in quanto sarà difficile ripristinarlo.
SUPPORTO:
È possibile contattare l'assistenza per decrittografare i file per conto dell'utente.
Clicca sul supporto in http://4wcgqlckaazugwzm.onion/index.php
------------------------------
END ITALIAN
------------------------------
------------------------------
BEGIN KOREAN
------------------------------
조언을 받으십시오 :
모든 파일, 사진 문서 및 데이터는 군용 등급 암호화 RSA AES-256으로 암호화되어 있습니다.
귀하의 정보는 손실되지 않습니다. 그러나 암호화.
파일을 복원하려면 Decrypter를 구입해야합니다.
이 단계에 따라 파일을 복원하십시오.
1 * Tor 브라우저를 다운로드하십시오. (구글에 "Tor 다운로드"만 입력하면됩니다.)
2 * URL 찾아보기 : http://4wcgqlckaazugwzm.onion/index.php
3 * 파일을 복원하려면 Decryptor를 구입하십시오.
그것은 매우 간단합니다. 파일을 복원 할 수 있다고 생각지 않으면 이미지 형식의 파일 1 개를 무료로 복원 할 수 있습니다.
시간이 똑딱 거리고 있다는 것을 알아 두십시오. 가격은 96 시간마다 두 배가되므로 현명하게 사용하십시오.
고유 ID : -
주의:
암호화 된 파일을 수정하거나 삭제하지 마십시오. 복원하기가 어려울 수 있습니다.
지원하다:
지원 센터에 문의하여 파일의 암호를 해독하는 데 도움을받을 수 있습니다.
http://4wcgqlckaazugwzm.onion/index.php에서 지원을 클릭하십시오.
------------------------------
END KOREAN
------------------------------

Screenshot do processo de Locky Imposter no Gestor de Tarefas do Windows:

Locky Imposter no Gestor de Tarefas

Screenshot do website de Locky Imposter:

website Locky Imposter

Texto apresentado neste website:

Locky
Desbloqueie os seus Ficheiros
Em poucos minutos!
O que acontece?
Os ficheiros são encriptados a usar Locky Locker.
Tem uma oportunidade de restaurar os seus ficheiros a descarregar Locky Decryptor. E restaurar todos os seus ficheiros.
Esteja ciente de que nenhuma outro desencriptador irá trabalhar para si. Pode tentar, mas lembre-se do preço a cada 96 horas. Aja rápido.
LOCKY UNLOCKER.

Screenshot de ficheiros encriptados por Locky Imposter ("extensão .locky"):

Files encrypted by Locky Imposter ransomware

Remoção do ransomware Locky Imposter:

Remoção imediata automática de Vírus Locky Imposter: A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de Vírus Locky Imposter. Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu Rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus Locky Imposter. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

Inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos; escreva cd restore

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Locky Imposter no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware Locky Imposter restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Locky Imposter são conhecidas por remover Cópias de Volume Shadow dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por Locky Imposter também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como Locky Imposter.)

Observe que Windows 10 Fall Creators Update inclui um recurso de "Pasta de Controlo de Acesso" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros armazenados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Pasta de Controlo de Acesso

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui encontra mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa avançada tecnologia pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

Anti-ransomware Malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online Aqui.

Outras ferramentas conhecidas para remover o ransomware Locky Imposter:

Fonte: https://www.pcrisk.com/removal-guides/13235-locky-imposter-ransomware