Описание
През последните няколко години крипто вирусите, които поразяват компютрите станаха често срещана заплаха. През първите месеци на 2016 г. потребителите се сблъскаха с разнообразни варианти на крипто вирусите. Най-често срещания крипто вирус е TeslaCrypt 3.0, който е нова версия на крипто вирус от началото на 2015 г. Locky е една от многото версии на този крипто вирус. Тази нова версия затваря една от дупките, с които преди това потребителите можеха да възстановят част от криптитраните файлове. Сега новите вируси криптират файловете и им слагат най-различно разширение. Поразените от крипто варианта Locky слага разширение Locky на криптираните файлове.
Как се поразява компютъра от крипто вируса Locky?
Процесът по заразяване и криптиране на файловете на поразения компютър не е труден за разбиране. Повечето крипто вируси следват един и същ начин на заразяване. Вирусът идва по стандартния начин на заразяване на компютъра, а това е фишинг мейл, който съдържа вируса в приложен към мейла файл и е отворен от потребителя. При отварянето на вируса, който често пъти е прикрит като приложена към мейла снимка, документ, билет за самолет, оферта и тн., Locky вируса се инсталира на компютъра на жертвата. Вирусът сканира заразения компютър за файлове, които криптира използвайки алгоритъма за криптиране AES. Locky криптира файловете със следното разширение:
.7z; .rar; .m4a; .wma; .avi; .wmv; .csv; .d3dbsp; .sc2save; .sie; .sum; .ibank; .t13; .t12; .qdf; .gdb; .tax; .pkpass; .bc6; .bc7; .bkp; .qic; .bkf; .sidn; .sidd; .mddata; .itl; .itdb; .icxs; .hvpl; .hplg; .hkdb; .mdbackup; .syncdb; .gho; .cas; .svg; .map; .wmo; .itm; .sb; .fos; .mcgame; .vdf; .ztmp; .sis; .sid; .ncf; .menu; .layout; .dmp; .blob; .esm; .001; .vtf; .dazip; .fpk; .mlx; .kf; .iwd; .vpk; .tor; .psk; .rim; .w3x; .fsh; .ntl; .arch00; .lvl; .snx; .cfr; .ff; .vpp_pc; .lrf; .m2; .mcmeta; .vfs0; .mpqge; .kdb; .db0; .DayZProfile; .rofl; .hkx; .bar; .upk; .das; .iwi; .litemod; .asset; .forge; .ltx; .bsa; .apk; .re4; .sav; .lbf; .slm; .bik; .epk; .rgss3a; .pak; .big; .unity3d; .wotreplay; .xxx; .desc; .py; .m3u; .flv; .js; .css; .rb; .png; .jpeg; .txt; .p7c; .p7b; .p12; .pfx; .pem; .crt; .cer; .der; .x3f; .srw; .pef; .ptx; .r3d; .rw2; .rwl; .raw; .raf; .orf; .nrw; .mrwref; .mef; .erf; .kdc; .dcr; .cr2; .crw; .bay; .sr2; .srf; .arw; .3fr; .dng; .jpeg; .jpg; .cdr; .indd; .ai; .eps; .pdf; .pdd; .psd; .dbfv; .mdf; .wb2; .rtf; .wpd; .dxg; .xf; .dwg; .pst; .accdb; .mdb; .pptm; .pptx; .ppt; .xlk; .xlsb; .xlsm; .xlsx; .xls; .wps; .docm; .docx; .doc; .odb; .odc; .odm; .odp; .ods; .odt
След като тези файлове са криптирани, Locky променя тяхното разширение на Locky и по този начин показва кои файлове са поразени. Вирусът също така изтрива Shadow Volume Copies от системата, както и точките за възстановяване (Restore Points), при което става невъзможно за потребителите да възстановят по какъвто и да е алтернативен начин криптираните файлове. За съжаление към този момент криптирани от Locky файлове не могат да бъдат възстановени без декриптиращ ключ.
Поразеният от крипто вирус компютър получава съобщение под формата на текст или снимка за инструкции как да бъде платено за получаване на такъв декриптиращ ключ. Обикновено се плаща в електронната валута биткойн BTC и цената варира от 1 BTC до десетки BTC за всеки отделен случай.
За да избегнете плащане на откуп за получаване на декриптиращ ключ, архивирайте важната информация на външни носители редовно.
Не отваряйте подозрителни мейли.
Ползвайте последните дефиниции на антивирусната програма.
От екип на „ЛИП Трейд“ ООД
