.Blocco Virus File (Locky) - Rimuovere e ripristinare i file
MINACCIA RIMOZIONE

.Blocco Virus File (Locky) – Rimuovere e ripristinare i file

1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessuna valutazione)
Loading ...

Questo articolo vi aiuterà a rimuovere il .blocco dei file virus completamente. Seguire le istruzioni di rimozione ransomware riportate in basso.

.Blocco Virus File è in realtà l'ultima iterazione della Locky ransomware che pone il .bloccaggio estensione a tutti i file bloccati. Una massiccia campagna di e-mail si estende su 980 e-mail è visto in azione. Il dispositivo computer diventa infetto, ei file crittografati se si apre qualsiasi file allegati da un tale e-mail di spam. Non ci sono cambiamenti reali esistono per quanto riguarda questa versione del virus Locky. Continua a leggere e verificare se è possibile ripristinare i dati potenzialmente.

Sommario minaccia

Nome.Blocco Virus File
TipoRansomware, Cryptovirus
breve descrizioneIl .Blocco virus di file è una nuova variante di Locky ransomware. Il cryptovirus ha alcuni cambiamenti nel suo metodo di infezione, ma non molti altri quelli.
SintomiI file vengono crittografati e otterrà il .bloccaggio estensione ad essi connessi. Si vede una richiesta di riscatto con le istruzioni in cui si afferma che la cifratura che viene utilizzato sia AES e RSA.
Metodo di distribuzioneCampagne di spam e-mail con allegati di file, domini dannosi
Detection Tool Verificare se il sistema è stato interessato da .Lukitus Virus File

Scarica

Strumento di rimozione malware

Esperienza utenteIscriviti alla nostra Forum per discutere .Lukitus file del virus.
Strumento di recupero datiWindows Data Recovery da Stellar Phoenix Avviso! Questo prodotto esegue la scansione settori di unità per recuperare i file persi e non può recuperare 100% dei file crittografati, ma solo pochi di essi, a seconda della situazione e se non è stato riformattato l'unità.

aggiornamento di settembre 2017 L'ultimo campagna di malware di spam che ruota attorno alla .Lukitus variante del virus Locky è enorme. Oltre 23 milioni di utenti sono segnalati per aver ricevuto queste e-mail e le vittime sono molte. La campagna spoofs principalmente il famoso servizio di Google “DropBox“. I contenuti di posta elettronica sembrano una e-mail ufficiale del DropBox e che è considerato phishing. Tuttavia, sembra che questo non è l'unico tipo di e-mail che gli utenti hanno ricevuto. Attenzione in quanto vi sono molte varianti. Qui di seguito potete vedere più dettagli su Dropbox e-mail, che sembrano essere attualmente il più diffuso.

Si riceverà un messaggio di posta elettronica che utilizza il logo DropBox, un indirizzo di posta elettronica del mittente che appare come la sua inviati da tale servizio e sembra che nel seguente screenshot:

Gli stati di posta elettronica seguente:

Ciao [il tuo nome qui],

Abbiamo solo bisogno di verificare il tuo indirizzo e-mail prima del vostro segno up è completa!

verifica la tua email
felice Dropboxing!

Se si cade per esso e fare clic sull'apposito link, vi troverete in un'altra pagina on-line che si presenta così:

Se si fa clic sul secondo link, nonché, allora si ottiene il .variante bloccaggio del ransomware Locky “caduto” sul PC e sarà crittografare i file. Diffidare di ciò che si fa clic su, e messaggi di posta elettronica mai la fiducia che sono da entità sconosciute o sono ricevuti sorprendentemente, a volte non sono stati loro si aspettano. Nella sezione successiva si vedrà quello che esistono altri modi per il virus di diffondersi e dettagli più tecnici sul ransomware nel suo complesso.

.Blocco Virus File - metodi di distribuzione

.Blocco Virus File come una nuova versione di Locky ransomware, si sta distribuendo tramite una massiccia campagna di spam e-mail, che secondo i ricercatori ha ormai raggiunto oltre 1000 e-mail. Al momento della stesura di questo articolo, Non ci sono molte segnalazioni di vittime. Tuttavia, l'e-mail ha una delle seguenti due soggetti:

  • PAGAMENTO
  • Mandare email [lettere e numeri casuali]

Tale e-mail conterrà un .chiusura, .rar o .7da allegati – esempio: Luglio-August2017.rar. Quando l'allegato viene aperto, che sarà simile a un normale documento. Questo file ha un trigger JS (e potrebbe contenere un .jse file) e il suddetto script scarica il malware. È possibile vedere un esempio di uno di questi file sul VirusTotal il servizio proprio qui:

Nella e-mail, l'attacco all'interno .chiusura file sarà probabilmente una delle seguenti estensioni:

→.doc, .docx, .xls, .xlsx, .jpg, .bisticcio, .pdf, .jpg

Così, che renderà l'aspetto di file come un documento o una foto. Comando&Controllo (C2) Server verrà eseguito il ping, e quel server scaricherà eseguibile maligno di Locky in forma crittografata in modo che possa cercare di aggirare il software di sicurezza. Il Necurs Botnet e la campagna di spam di malware BlankSlate sono stati segnalati per la diffusione delle e-mail con allegato malevolo per la variante .lukitus di Locky.

Qui sotto potete vedere i domini diffondere questa variante del ransomware:

Lista con alcuni dei siti di download di payload

Avviso! L'elenco con i domini è a scopo puramente informativo e si consiglia vivamente contro l'apertura di una di esse, perché si scarica il virus sul vostro computer.

Ecco il testo del corpo della maggior parte delle campagne di spam di posta elettronica corrente:

Il tuo messaggio è pronto per essere inviato con i seguenti file o un link

allegati:

Payment_201708-838

Nota: Per la protezione contro i virus informatici, programmi di posta elettronica possono impedire

l'invio o la ricezione di alcuni tipi di file allegati. Controlla la tua e-mail

le impostazioni di sicurezza per determinare come vengono gestiti gli allegati.

Prima di aprire qualsiasi file da Internet, eseguire sempre una scansione con un programma di sicurezza. Si dovrebbe leggere il ransomware prevenzione suggerimenti nel nostro forum per informarsi meglio sui metodi per combattere tali minacce malware.

.Blocco dei file virus - Informazioni Tecniche

Il .blocco dei file virus è in realtà l'ultima variante di Locky ransomware. Soprannominato dopo l'estensione .bloccaggio che essa pone ai file cifrati, questa versione del famigerato cryptovirus è stato scoperto a diffondersi non solo con l'aiuto dei suoi vecchi domini malevoli, ma con alcuni nuovi.

Il Locky ransomware fa anche voci nel registro di Windows per raggiungere un più alto livello di persistenza. voci di registro di quel calibro sono in genere progettati per avviare il virus automaticamente ad ogni avvio del sistema operativo Windows o anche reprimere e manomettere i processi.

Il messaggio con le istruzioni per il pagamento del riscatto sembra essere invariata e viene memorizzato in due file ancora una volta - uno in un .jpg, l'altro in un .html. È possibile visualizzare in anteprima l'immagine che viene inserito come sfondo del desktop in basso:

Il messaggio di riscatto legge la seguente:

= * ~ * I + _ =

-+H = ~ I- I _- ​​= + * $

-= ~ $ * I _ =. *

!!! INFORMAZIONI IMPORTANTI !!!!

Tutti i file sono criptati con RSA-2048 e cifrari AES-128.

Maggiori informazioni sulla RSA e AES può essere trovato qui:
http://en.wildpedia.org/wiki/RSA_(crittografico)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrittografia dei file è possibile solo con la chiave privata e decifrare il programma, che è sul nostro server segreto.

Per ricevere la chiave privata seguire uno dei link:

Se tutti questi indirizzi non sono disponibili, Segui questi passi:

1. Scaricare e installare Tor Browser: https://www.torproject.org/downIoad/download-easy.html
2. Dopo una corretta installazione, eseguire il browser e attendere l'inizializzazione.

3. Digitare nella barra degli indirizzi: g46mbrrzpfszonuk.onion

4. Seguire le istruzioni sul sito.

!!! Il tuo ID di identificazione personale: !!!

-= _ + _ ~ = ~ =

~ * ~ $ L. $ * ._

Potete vedere in anteprima il .html versione di quella nota nella foto qui:

Come il TOR pagina di pagamento assomiglia:

Ecco che cosa dice su quella pagina di pagamento:

Locky Decryptor ™

Vi presentiamo un software speciale – Locky Decryptor ™ –
che permette di decifrare e restituire il controllo a tutti i file crittografati.

Come acquistare Locky Decryptor ™?
È possibile effettuare un pagamento con bitcoin, ci sono molti metodi per farli.
È necessario registrarsi BitCoin portafoglio:
Più semplice portafoglio online o di alcuni altri metodi di creazione di portafogli
Acquisti Bitcoins, anche se non è ancora facile da acquistare bitcoin, si sta facendo ogni giorno più semplice.

Ecco i nostri suggerimenti:
localbitcoins.com (WU) Comprare Bitcoins con Western Union.
coincafe.com Consigliato per una rapida, servizio semplice.
Modalità di pagamento: Western Union, Banca d'America, Cash da FedEx, Moneygram, Vaglia. in NYC: Bitcoin ATM, di persona.
localbitcoins.com servizio permette di cercare le persone nella vostra comunità disposti a vendere bitcoin a voi direttamente.
cex.io Acquista Bitcoins con Visa / Mastercard o bonifico bancario.
btcdirect.eu Il meglio per l'Europa.
bitquick.co Acquista Bitcoins immediatamente per contanti.
howtobuybitcoins.info Un elenco internazionale di scambi bitcoin.
cashintocoins.com Bitcoin per contanti.
coinjar.com CoinJar permette acquisti bitcoin dirette sul loro sito.
anxpro.com
bittylicious.com
Inviare 0.5 BTC a Bitcoin indirizzo:

Nota: Pagamento in attesa fino a 30 minuti o più per la conferma della transazione, perfavore sii paziente…
Data Importo BTC transazione Conferme ID
non trovato
Aggiornare la pagina e scaricare decryptor.
Quando le transazioni Bitcoin riceveranno una conferma, si verrà reindirizzati alla pagina per il download del decryptor.

Come chiaramente visto dalla pagina di pagamento Tor, il .Blocco virus di file vuole pagare 0.5 Bitcoin, che equivale a quasi 2060 Dollari al momento della stesura di questo articolo. Tuttavia, dovresti NON in nessun caso pagare qualcosa per i criminali informatici. Nessuno può garantire che è possibile recuperare i vostri dati a pagamento, o che non sarà possibile ottenere il computer infettato una volta di più in futuro. Inoltre, dare soldi a criminali in questo modo potrebbe essere interpretato come sostenerli finanziariamente, e potrebbe anche motivarli a mantenere commettere crimini simili, come ad esempio la creazione di virus ransomware. Questo è evidentemente vero, come nuove varianti di ransomware Locky continuano a venire fuori.

.Blocco Virus File - Processo di crittografia

Il .blocco dei file virus è soprannominato così per le vittime, perché aggiunge la .bloccaggio estensione a tutti i file crittografati. Come i ricercatori malware hanno confermato che è effettivamente una nuova variante del Locky ransomware, è più probabile cercando di crittografare i file con estensioni come le sue iterazioni precedenti, e cioè il seguente:

→.001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1CD, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7da, .7chiusura, .ARCO, .CSV, .DOC, .PUNTO, .MYD, .VENDUTO, .NEF, .PAQ, .PPT, .RTF, .SQLITE3, .SQLITEDB, .XLS, .aac, .AB4, .ACCDB, .ACCD, .accdr, .accdt, .ach, .acr, .atto, .adb, .adp, .Annunci, .AES, .AGDL, .ai, .aiff, .facente, .al, .Aoi, .APJ, .apk, .ARW, .asc, .asf, .asm, .aspide, .aspx, .bene, .ASX, .avi, .awg, .indietro, .di riserva, .BackupDB, .dietro, .banca, .pipistrello, .baia, .vg, .BGT, .bik, .am, .BKP, .miscela, .bmp, .DPW, .brda, .BSA, .cdf, .cdr, .CDR3, .CDR4, .cdr5, .cdr6, .CDRW, .CDX, .CE1, .CE2, .cielo, .cfg, .CGM, .tasca, .classe, .cls, .cmd, .CMT, .config, .contatto, .cpi, .cpp, .CR2, .craw, .crt, .CRW, .cs, .csh, .CSL, .csr, .css, .csv, .d3dbsp, .Dacian, .il, .che, .db, .DB3, .db_journal, .dbf, .dbx, .dc2, .DCH, .dcr, .dcs, .ddd, .bacino, .NRW, .DDS, .il, .di, .design, .DGC, .DIF, .tuffo, .questo, .djv, .djvu, .DNG, .doc, .DOCB, .docm, .docx, .puntino, .dotm, .dotx, .DRF, .DRW, .dtd, .dwg, .DXB, .dxf, .DXG, .edb, .eml, .eps, .erbsql, .erf, .exf, .FDB, .EF, .fff, .A nome di, .FHD, .fla, .flac, .FLF, .flv, .flvv, .forgiare, .FPX, .frm, .FXG, .gif, .gpg, .grigio, .grigio, .gruppi, .gioco, .gz, .hbk, .HDD, .hpp, .html, .infilare, .iBank, .IBD, .FLR, .idx, .iif, .IIQ, .incpas, .INDD, .persone, .vaso, .Giava, .JNT, .JPE, .jpeg, .jpg, .js, .KC2, .kdbx, .KDC, .chiave, .kpdx, .Storia, .laccdb, .posare, .lay6, .lbf, .LDF, .illuminato, .litemod, .litesql, .ceppo, .LTX, .prendere, .m2ts, .m3u, .m4a, .M4P, .M4U, .m4v, .MAPIMAIL, .max, .Vista, .md, .CIS, .mdc, .mdf, .mef, .MFW, .medio, .mkv, .mlb, .MML, .MMW, .mny, .MoneyWell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .MRW, .MS11, .msg, .mondo, .n64, .ND, .ndd, .NDF, .navata, .NK2, .nop, .nrw, .ns2, .NS3, .NS4, .NSD, .NSF, .NSG, .NSH, .nvram, .nwb, .NX2, .NXL, .NYF, .OAB, .obj, .ODB, .Ep, .odf, .risposta, .odm, .Rispondere, .paragrafo, .odt, .ogg, .olio, .onetoc2, .orf, .ost, .OTG, .OTH, .OTP, .ots, .ci, .p12, .p7b, .P7C, .aiutare, .pagine, .non, .colpetto, .PCD, .PCT, .pdb, .PDD, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pentola, .sentieri, .potx, .PPAM, .pps, .PPSM, .PPSX, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .PST (ora standard del Pacifico, .PTX, .PWM, .py, .supremo, .QBB, .QBM, .Qbr, .QBW, .QBX, .QBY, .qcow, .qcow2, .QED, .R3D, .raf, .rar, .ratto, .crudo, .rb, .rdb, .re4, .rm, .rtf, .RVT, .RW2, .RWL, .RWZ, .s3db, .al sicuro, .sas7bdat, .settimane, .salvare, .dire, .sch, .sd0, .sda, .senza casa, .sh, .sldm, .sldx, .ch, .sql, .sqlite, .sqlite3, .sqlitedb, .SR2, .SRF, .srt, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .stc, .std, .sti, .stm, .STW, .STX, .svg, .swf, .sxc, .SXD, .SXG, .lei, .SXM, .SXW, .prende, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .bisticcio, .pc, .txt, .UOP, .uot, .cfu, .vb, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .VMSD, .vmx, .vmxf, .vob, .DHS, .batuffolo, .portafoglio, .wav, .WB2, .WK1, .wks, .wma, .wmv, .WPD, .wps, .X11, .X3F, .film, .XLA, .xlam, .XLC, .XLK, .XLM, .xlr, .xls, .XLSB, .xlsm, .xlsx, .XLT, .XLTM, .xltx, .XLW, .xml, .YCbCr, .yuv, .chiusura

L'algoritmo di crittografia che si ritiene essere utilizzato da Locky in tutte le sue richieste di riscatto è RSA-2048 con AES a 128-bit cifrari. I file crittografati verranno rinominati con una sequenza logica di numeri derivanti dal tuo numero ID. Per esempio, tale file sarà simile G93562L1-K86Z-019J 47N5V911-87QP4TK6FHXM.lukitus.

Il Locky cryptovirus ha una elevata probabilità di eliminare il Copie shadow del volume dal sistema operativo Windows eseguendo il comando seguente:

→Vssadmin.exe eliminare ombre / tutti / Quiet

Il comando elimina uno dei modi più importanti per il ripristino dei file sul vostro sistema informatico. Questo rende il processo di crittografia del virus ancora più praticabile.

Rimuovere .Lukitus file del virus e ripristinare i file

Se il computer è stato infettato con il .Blocco Virus File, si dovrebbe avere un po 'di esperienza nella rimozione di malware. Si dovrebbe sbarazzarsi di questo ransomware nel minor tempo possibile prima di poter avere la possibilità di diffondersi ulteriormente e infettare altri sistemi informatici. È necessario rimuovere il ransomware e seguire la guida istruzioni passo-passo di seguito.

Avatar

Berta Bilbao

Berta è un ricercatore di malware dedicato, sognare per un cyber spazio più sicuro. Il suo fascino con la sicurezza IT ha iniziato alcuni anni fa, quando un suo di malware bloccato del proprio computer.

Altri messaggi

1 Commento

  1. AvatarAbdulrazag Alshebani

    Cari.
    per favore per favore ho bisogno di te aiuto per ottenere i file di nuovo come prima.
    Sono una persona molto normale uso questo file per la mia auto di rimanere in lavoro altri saggi sono fuori senza di loro ,quindi per favore mi aiuti.
    attesa per il vostro feed back.

    Replica

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...