PyLocky to kryptowirus imitujący znanego ransomware'a Locky

Ransomware PyLocky to niebezpieczne cyberzagrożenie stworzone do korzystania z kombinacji szyfrów AES i RSA, do szyfrowania najczęściej używanych plików na komputerze celu. Badacze notują, że ten wirus szyfrujący pliki podszywa się pod niesławnego ransomware'a Locky. Po tym, jak wirus dostanie się do systemu, oznacza zaszyfrowane informacje jednym z podanych rozszerzeń: .locky, .lockymap, .lockedfile. W rezultacie, pliki stają się nie do uzytku. Ofiary otrzymują także żądanie okupu nazwane LOCKY-README.txt informujące o możliwej dekrypcji oraz domagające się okupu w Bitcoinach. Infekcja ta może korzystać też z nazwy Locky Locker i dostawać się do systemu jako plik lock.exe bądź Facture_25.07.2018_991030.exe. W sierpniu 2018 roku, wirus PyLocky pojawił się z nową wersją zawierającą rozszerzenie .lockedfile. Malware aktywnie atakuje Francję z pomocą spamu wysyłanego poprzez ouisorties[.]fr. Najnowsza wersja jest jednak dostępna w czterech językach: angielskim, francuskim, włoskim i koreańskim.
| Nazwa | PyLocky |
|---|---|
| Typ | Ransomware |
| Znany też jako | Locky Locker |
| Poziom zagrożenia | Wysoki. Może modyfikować system |
| Pliki wykonywalne | lock.exe; Facture_25.07.2018_991030.exe |
| Kryptografia | AES oraz RSA |
| Rozszerzenia plików | .locky; .lockedfile, .lockymap |
| Żądanie okupu | LOCKY-README.txt |
| Dystrybucja | System może zostać zainfekowany poprzez liczny spam |
| Eliminacja | Najbezpieczniejszym sposobem na pozbycie się wirusa Locky Locker jest skan komputera programem FortectIntego bądź innym zaufanym antywirusem |
Zazwyczaj, PyLocky może dostać się do systemu, gdy użytkownik otworzy złośliwy załącznik mailowy zawierający wirusa. Potem, krypto-malware zaczyna szyfrować informacje na komputerze i czyni go bezużytecznym.
Po udanym szyfrowaniu, ransomware umieszcza żądanie okupu w każdym folderze systemu zawierającym zaszyfrowane pliki. Najnowsza wersja ransomware'a PyLocky korzysta z żądania okupu napisanego w czterech językach – wiadomość jest najpierw w języku angielskim – następne są wersje francuska, włoska i koreańska.
Angielska treść żądania okupu wygląda następująco:
Please be adviced:
All your files, pictures document and data has been encrypted with Military Grade Encryption RSA AES-256.
Your information is not lost. But Encrypted.
In order for you to restore your files you have to purchase Decrypter.
Follow this steps to restore your files.1* Download the Tor Browser. ( Just type in google „Download Tor” ).
2* Browse to URL : [URL to a TOR-based page]
3* Purchase the Decryptor to restore your files.It is very simple. If you don't believe that we can restore your files, then you can restore 1 file of image format for free.
Be aware the time is ticking. Price will be doubled every 96 hours so use it wisely.
Przestępcy informują, że dane użytkownika są zaszyfrowane wojskowymi szyframi – osoba musi zapłacić okup w zamian za dekrypter Locky Locker. Ofiara musi też pobrać przeglądarkę Tor i zakupić dekryptor za bitcoiny. Te dokładne instrukcje pozwalają hakerom pozostać anonimowymi – nielegalne transakcje nie mogą być wyśledzone aż do atakujących.
Eksperci zalecają jednak ofiarom PyLocky'ego nie płacić okupu. Nawet, jeśli akcja jest przekonująca, gdyż przestępcy sugerują podwajanie kosztu co 96 godzin, istnieją alternatywne sposoby na odzyskanie danych. Dodatkowo, cybeprzestępcy nie są osobami, którymi powinieneś ufać.
Wirus ten jest żywy i aktualizowany – znaczy to, że musisz zachować ostrożność prze każdej wersji ransomware'a PyLocky. Najnowsza odmiana, według cyberekspertów, atakuje Francję. Nawet, jeśli najwięcej ofiar pochodzi z tamtego kraju, istnieje ryzyko rozszerzenia się tego wirusa na cały świat.

Badacze wskazują, że w większości przypadków zaczęto wymuszać większą liczbę pieniędzy po wyrażeniu zgody na pierwotną kwotę. Co więcej, po transakcji wielu użytkowników nie otrzymało obiecanego dekryptera. Dlatego powinieneś powstrzymywać się od zapłaty okupu oraz usunąć ransomware'a PyLocky, jeśli znalazłeś rozszerzenia .lockedfile, .lockymap i podobne dodane do Twoich plików.
Po usunięciu ransomware'a PyLocky będziesz w stanie użyć alternatywnego sposobu na odzyskanie plików. Nasi eksperci przygotowali listę narzędzi, które mogą pomóc odzyskać pliki zaszyfrowane przez ransomware. Najpierw jednak musisz wyeliminować infekcję. W tym celu przeskanuj komputer z pomocą FortectIntego bądź innego programu antywirusowego.

Pliki wykonywalne ransomware ukrywają się w spamie
Ci, którzy się zastanawiają, jak ich komputery zostały zainfekowane ransomware'm powinni wiedzieć o najpowszechniejszym sposobie dystrybucji pozwalającym przestępcom na przejmowanie innych urządzeń. Większość wirusów szyfrujących pliki rozpowszechnia się poprzez kampanie malspamowe.
Innymi słowy, hakerzy ukrywają ransomware'y pod postacią wiarygodnych i niewinnie wyglądających plików, a następnie załączają je do spamu. W większości przypadków, użytkownicy mogą otrzymywać złośliwe listy, pochodzące ze znanych przedsiębiorstw bądź instytucji rządowych.
Po otwarciu załącznika, zostawia on malware i zaczyna szyfrować dane. Dlatego też użytkownicy powinni monitorować skrzynkę odbioerczą i nigdy nie klikać na jakiekolwiek podejrzane pliki. Warto też zaopatrzyć się w antywirusa z ochroną czasu rzeczywistego, by unikać ataków ransomware.
Wyłącz wirusa PyLocky zanim więcej plików zostanie zaatakowanych
Warto zrozumieć, jak niebezpieczne są ransomware'y oraj jak ważne jest szybkie usunięcie PyLocky'ego. W przeciwnym wypadku ten krypto-wirus może zablokować ważniejsze pliki bądź wprowadzić na system złośliwsze aplikacje.
W celu usunięcia ransomware'a PyLocky, musisz zasięgnąć pomocy profesjonalistów. Zalecamy instalację zweryfikowanego narzędzia, które przeskanuje, zidentyfikuje i usunie komponenty powiązane z ransomware. Badacze sugerują korzystanie z FortectIntego lub MalwarebytesMalwarebytes – są to łatwe w użyciu programu, które ukończą całą procedurę w ciągu kilku minut.
Po deinstalacji ransomware'a PyLocky, przejdź do odzyskania danych. Istnieją profesjonalne programy stworzone, by pomóc ofiarom krypto-malware'ów. Instrukcje, jak tego dokonać, znajdują się na końcu tego artykułu.
Czy ten poradnik był pomocny?
Skomentuj jako pierwszy