.zzzzz Extension Virus - Fjern Locky Ransomware - Hvordan, Teknologi og pc-sikkerhed Forum | SensorsTechForum.com
TRUSSEL FJERNELSE

.zzzzz Extension Virus - Fjern Locky Ransomware

STF-Locky-ransomware-virus-zzzzz-fil-extension-spam-email-amazon-spoof-zip-js-nyttelast-script-fil-attached

Locky ransomware har en ny version. Det er meget sandsynligt, at være et svar på den nye Cerber ransomware variant og at holde rivaliseringen mellem de to cryptoviruses. Også, nogle af spam e-mails vil blive lavet til at ligne buy ordrer fra kendte virksomheder som en Amazon og kan være relateret til den kommende Black Friday og Cyber ​​mandag. Dine filer bliver krypteret med en ny tilbygning .zzzzz. Den nye streng af dette virus bruger en .js fil for sin nyttelast, men det synes at mangle en C&C (Kommando og kontrol) server, ifølge forskerne. For at se hvordan du fjerner ransomware og hvordan du kan forsøge at gendanne dine filer, omhyggeligt læse hele artiklen.

Trussel Summary

NavnLocky Ransomware
TypeRansomware, Cryptovirus
Kort beskrivelseDen ransomware krypterer dine data og viser derefter en løsesum besked med instruktioner til betaling.
SymptomerKrypterede filer vil have den .zzzzz udvidelse vedlagt dem.
DistributionsmetodeSpam e-mails, Vedhæftede filer, .js filer
Værktøj Detection Se Hvis dit system er blevet påvirket af Locky Ransomware

Hent

Værktøj til fjernelse af malware

BrugererfaringTilmeld dig vores forum at diskutere Locky Ransomware.
Data Recovery ToolWindows Data Recovery af Stellar Phoenix Varsel! Dette produkt scanner dine drev sektorer til at gendanne mistede filer, og det kan ikke komme sig 100% af de krypterede filer, men kun få af dem, afhængigt af situationen og uanset om du har omformateret drevet.

Locky Ransomware - Infektion Spread

Den nyeste version af Locky ransomware afhængig traditionelle metoder til at sprede sin infektion. Den cryptovirus bruger et spam-e-mail-kampagne, der primært distribuerer spoof e-mails af populære salg websites. Liget af en sådan e-mail kan ses nedenfor:

STF-Locky-ransomware-virus-zzzzz-fil-extension-spam-email-amazon-spoof-zip-js-nyttelast-script-fil-attached
Image Source: Microsoft

Hovedsageligt virksomheder som Royal Mail, FedEx, og DHL Express nævnes som kurerer for at levere en ordre, som du eller din forretningsadresse angiveligt lavet. Der er et navn på en afsender og en e-mail, der ser ud som de er relateret til en virksomhed eller forretning, og et emne med navnet "Bestille #34342123" (hvor tallene er tilfældige).

Flere sæt af e-mails bliver spredt så godt. Disse e-mails er ganske kort og oplyse følgende:

Kære [dit navn], vores HR-afdeling fortalte os, at de ikke har modtaget kvittering du havde lovet at sende dem. Bøder kan anvendes fra tredjeparten. Vi sender dig detaljerne i den vedhæftede fil.
Venligst tjek det ud når det er muligt.

Uanset hvad e-mail krop er, en vedhæftet fil er altid til stede med den elektroniske brev. Den vedhæftede fil er en arkivfil, oftest være .zip og at arkiv indeholder en .js nyttelast fil. Scriptet er ondsindet, og når henrettet vil inficere dig med Locky ransomware. I nogle lande .aserne udvidelse af Locky stadig ses som resultatet fra indlæsning af nyttelasten fil. Du kan se et eksempel på fund til den nyeste .zzzzz udvidelse på VirusTotal hjemmeside nedenfor:

STF-Locky-ransomware-virus-zzzzz-fil-extension-spam-email-tilknytning-js-nemucod-infektion-VirusTotal-fund

Det ser ud til, at den .js fil indlæser Trojan Downloader kendt som Nemucod. Lande, der er berørt, er Forenede Stater, Canada, Taiwan, Vietnam, Sydafrika i henhold til malware forskere fra MalwareHunterTeam. Flere lande er målrettet, men de kan få udvidelsen .aserne.

Locky ransomware er også spredt rundt sociale medier som Facebook. Undgå alle mistænkelige eller ukendte links, vedhæftede filer eller filer som en generel tommelfingerregel. Før åbning enhver fil, altid udføre en kontrol med et sikkerhedsprogram. Du bør læse ransomware forebyggelse tips i vores forum for at lære om flere metoder om at bekæmpe sådanne trusler.

Locky Ransomware - detaljeret analyse

Locky ransomware er blevet udgivet med en ny version med en anden udvidelse – .zzzzz. Den tidligere version blev frigivet kun et par dage siden og stadig bliver distribueret samtidigt som den nyeste streng af den virus, der opstod tidligere i dag. Emails indeholder et arkiv fil kaldet bestille_[dit navn].zip som indeholder det skadelige .js script. Nogle af download-steder kan ses lige her:

  • musicphilicwinds.org/q2spze
  • jxhyhz.com/pgkf09
  • stivyiseum.com/faphs9m
  • mschroll.de/pgdom
  • derekglum.net/ecesblt

Åbn ikke disse links, da de indeholder malware - det er udelukkende for at informere om kendte downloade URL'er.

Denne version af Locky der bruger .zzzzz forlængelse efter kryptering, bruger ikke C&C (Kommando og kontrol) servere, men en .tdb fil til sin indgang, efter malware forskere.

Efter udførelsen nyttelasten, dine filer vil blive krypteret, og en løsesum notat vil blive vist på dit skrivebord. En kopi af notatet med betalingsinstrukser vil blive foretaget i filer med navnet _1-INSTRUCTION.html.

Den løsesum notat med instruktioner er angivet som baggrund på skrivebordet, og det er det samme som tidligere iterationer:

STF-Locky-ransomware-virus-zzzzz-fil-extension-løsepenge-screen-desktop

Teksten lyder følgende:

!!! VIGTIG INFORMATION !!!

Alle dine filer er krypteret med RSA-2048 og AES-128 kryptering.
Mere information om RSA og AES kan findes her:
https://en.wikipedia.org/wiki/RSA_(kryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Dekryptering af dine filer er kun muligt med den private nøgle og dekryptere program, Alt der er på vores hemmelige server.
For at modtage din private nøgle følge et af linkene:
1. [redigeret] 2. [redigeret] Hvis alt dette adresser er ikke tilgængelige, følge disse trin:
1. Download og installer Tor Browser: https://www.torproject.org/download/download-easy.html
2. Efter en vellykket installation, kører browser og vente på initialisering.
3. Skriv i adresselinjen: [redigeret] 4. Følg vejledningen på webstedet.
!!! Din personlige identifikation id: [redigeret] !!!

I .html lagt i en browser vil det se sådan ud:

STF-Locky-ransomware-virus-zzzzz-fil-extension-løsepenge-note-html

Den Locky cryptovirus vil linke dig til et netværk domæne skjult med TOR tjeneste. Den stillede pris for dekryptering er 0.5 Bitcoins hvilket svarer til næsten 370 dollar. Tjenesten ser ud præcis som den ene af sine forgængere, som du kan se nedenfor:

STF-Locky-ransomware-virus-zzzzz-fil-extension-Locky-Decryptor-page-betaling-instruktioner

Den Locky ransomware er ingen steder tæt på at blive slået, som sin kryptering er stærk og forskere ikke har rapporteret at have fundet fejl i sin kode. Forrige Locky ransomware ofre har rapporteret, at de ikke havde nogen succes med at inddrive deres filer efter at have betalt løsesum penge til cyberkriminelle. Så, der er ingen grund til at du kontakter skurke eller betale dem. Til dette øjeblik vi kun se, at malware skabere fortsætte med at udvikle nye versioner af deres ransomware og vil fortsætte med at gøre det.

Malware forskere har bekræftet, at forlængelserne fra den tidligere variant af Locky søges at blive krypteret i dette en så godt. Listen omfatter mere end 450 filtypenavne:

→.001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pR, .602, .7fra, .7zip, .BUE, .CSV, .DOC, .DOT, .MYD, .SOLGT, .NEF, .PAQ, .PPT, .RTF, .sqlite3, .SQLITEDB, .XLS, .aac, .AB4, .accdb, .ACCD, .accdr, .accdt, .men, .acr, .handling, .aDB, .ADP, .annoncer, .aes, .agdl, .til, .gå, .tilhører, .al, .AOI, .APJ, .APK, .ARW, .ASC, .ASF, .ASM, .asp, .aspx, .aktiv, .ASX, .avi, .aWG, .tilbage, .backup, .backupdb, .bag, .bank, .flagermus, .bugt, .vg, .BGT, .Bik, .er, .BKP, .blanding, .bmp, .DPW, .Brda, .BSA, .CDF, .cdr, .CDR3, .CDR4, .cdr5, .cdr6, .CDRW, .CDX, .CE1, .CE2, .himmel, .cfg, .CGM, .lomme, .klasse, .CLS, .cmd, .cmt, .config, .kontakt, .cpi, .cpp, .CR2, .craw, .crt, .CRW, .cs, .csh, .CSL, .csr, .css, .csv, .d3dbsp, .Dacian, .den, .hvilken, .db, .DB3, .db_journal, .dbf, .dbx, .DC2, .dch, .dcr, .dcs, .ddd, .dock, .NRW, .dds, .den, .af, .design, .DGC, .dif, .dip, .dette, .djv, .DjVu, .DNG, .doc, .docb, .docm, .docx, .punktum, .dotm, .dotx, .DRF, .DRW, .dtd, .dwg, .DXB, .dxf, .DXG, .edb, .bryst, .EPS, .erbsql, .ERF, .EXF, .fdb, .EF, .fff, .På vegne af, .FHD, .fla, .flac, .FLF, .flv, .flvv, .smede, .FPX, .frm, .FXG, .gif, .gpg, .grå, .grå, .grupper, .spil, .gz, .HB, .hdd, .HPP, .html, .tuck, .iBank, .IBD, .FLR, .IDX, .IIf, .IIQ, .incpas, .indd, .land, .krukke, .java, .JNT, .JPE, .jpeg, .jpg, .js, .kc2, .kdbx, .KDC, .nøgle, .kpdx, .historie, .laccdb, .lægge, .lay6, .lbf, .LDF, .lit, .litemod, .litesql, .log, .LTX, .tage, .m2ts, .M3U, .M4A, .M4P, .m4u, .M4V, .mapimail, .max, .MBX, .md, .CIS, .MDC, .mdf, .MEF, .MFW, .mid, .mkv, .MLB, .MML, .MMV, .mny, .MoneyWell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .MRW, .MS11, .msg, .verden, .n64, .nd, .NDD, .ndf, .kirkeskibet, .NK2, .nop, .NRW, .NS2, .ns3, .NS4, .NSD, .NSF, .NSG, .NSH, .NVRAM, .NWB, .NX2, .NXL, .nyf, .OAB, .obj, .ODB, .Ep, .ODF, .svar, .ODM, .Svar, .afsnit, .odt, .ogg, .olie, .onetoc2, .orf'en, .ost, .OTG, .oth, .OTP, .oTS, .der, .p12, .p7b, .p7c, .hjælpe, .sider, .ikke, .klappe, .PCD, .pct, .bps, .PDD, .pdf, .PEF, .PEM, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .gryde, .veje, .potx, .PPAM, .pps, .PPSM, .ppsx, .ppt, .pptm, .pptx, .PRF, .ps, .psafe3, .PSD, .pspimage, .pst, .PTX, .PWM, .py, .altoverskyggende, .QBB, .QBM, .ICBm'ere, .QBW, .qbx, .qby, .qcow, .qcow2, .er, .R3D, .raf, .rar, .rotte, .rå, .rb, .RDB, .RE4, .rm, .rtf, .RVT, .RW2, .RWL, .RWZ, .s3db, .sikker, .sas7bdat, .sav, .spare, .sige, .sch, .sd0, .sda, .hjemløse, .sh, .sldm, .sldx, .ch, .sql, .SQLite, .sqlite3, .sqlitedb, .SR2, .SRF, .srt, .SRW, .sT4, .ST5, .ST6, .ST7, .ST8, .stc, .std, .STI, .stm, .STW, .stx, .svg, .swf, .SXC, .SXD, .sxg, .hun, .SXM, .sxw, .tager, .tar.bz2, .Tbk, .tex, .tga, .tgz, .THM, .tif, .tiff, .pcs, .txt, .generelt, .uot, .cfu, .vb, .VBOX, .VBS, .VDI, .vhd, .vhdx, .VMDK, .vmsd, .VMX, .vmxf, .vob, .WAB, .tot, .pung, .wav, .WB2, .WK1, .wks, .wma, .wmv, .WPD, .WPS, .x11, .X3F, .film, .XLA, .xlam, .XLC, .XLK, .XLM, .XLR, .xls, .xlsb, .xlsm, .XLSX, .XLT, .xltm, .xltx, .xlw, .xml, .YCbCr, .lavere satser, .zip

Krypterede filer vil have den .zzzzz udvidelse vedlagt dem, erstatte deres oprindelige. Den krypteringsalgoritme, som hævdes at blive brugt af Locky er RSA-2048 med AES 128-bit ciphers.

Denne seneste version af Locky ransomware er meget sandsynligt at slette Shadow Volume Kopier på Windows-operativsystemet med følgende kommando:

→vssadmin.exe slette skygger / alle / Stille

Læs yderligere at se, hvordan man fjerner denne ransomware og se, hvad metoder, du kan prøve at dekryptere nogle af dine filer.

Fjern Locky Ransomware og gendannelse .zzzzz filer

Hvis din computer fik inficeret med Locky ransomware virus, du skal have en vis erfaring med at fjerne malware. Du bør slippe af med denne ransomware så hurtigt som muligt, før det kan få mulighed for at sprede sig yderligere og inficere flere computere. Du bør fjerne ransomware og følg trin-for-trin instruktioner guide nedenfor. For at se måder, du kan prøve at gendanne dine data, se trinet 2. Gendannelse af filer krypteret af Locky Ransomware.

Avatar

Berta Bilbao

Berta er en dedikeret malware forsker, drømmer om en mere sikker cyberspace. Hendes fascination af it-sikkerhed begyndte for et par år siden, da en malware låst hende ud af hendes egen computer.

Flere indlæg

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...