Ransomware, virus Locky a jeho odstranění

Ransomware, virus Locky a jeho odstranění

Emailem se poslední dobou šíří ransomware virus Locky, a objevuje se stále častěji. Většinou vypadá jako nějaká faktura či výzva k exekuci a podobné podvodné emaily, které chodí někomu skoro denně. Mají přílohu .exe, .zip, ale i .doc nebo .xls. Pokud si nejste jisti, že je email pravý, v žádném případě přílohu neotevírejte! Nejprve si u odesilatele ověřte, zda email opravdu poslal on. Pokud Vám email nic neříká a odesilatel nereaguje, rovnou jej raději smažte.

Virus Locky je celkem moderní ransomware, který pomocí šifry AES-128 data zašifruje, a to i na externích discích a síťových! Prostě všude kam se dostane. Navíc Locky stále mutuje a antiviry na něj nereagují! Většinou se jedná o obrázky, excelovské a wordovské dokumenty, tedy soubory s příponou .jpg, .xls, .xlsx, .doc, .docx atd. K datům se bez klíče, který mají pouze tvůrci viru, nelze dostat. Můžete se s nimi tedy rovnou rozloučit.

Locky zašifruje obsah dokumentů a zanechá v adresářích text s instrukcemi, jak se dostat k datům zpět. Tvůrci viru Locky nabízí klíč k dešifrování za úplatu, většinou kolem 3 bitcointů, což je asi 30 000,- Kč. Tento poplatek ale raději neplaťte. Stejně jako u ostatních kyberútoků není záruka, že data po uhrazení částky dostanete zpět a také nemá smysl ustupovat vyděračům. Pokud virus Locky již PC napadl, doporučujeme ideálně počítač vypnout a zavolat odbornou pomoc. Hlavně ihned odpojit všechna externí úložiště, kde můžete mít zálohy. Dokud není počítač odvirován, žádná datová úložiště k němu nepřipojujte, jelikož je virus přešifruje také. A už vůbec nepřipojujte zálohy, jinak o ně též přijdete. Nejdříve je nutné virus z počítače odstranit. Teprve poté ho můžete zapnout a začít na něm bezpečně pracovat.

Virus Locky, který zašifruje obsah adresářů, většinou dokumenty, o kterých je psáno výše, zanechá v adresářích text s instrukcemi, jak se dostat k datům zpět, ovšem za úplatu. A jak jsme již psali, nedoporučujeme nic hradit!

Snímek obrazovky 2016-05-03 v 14.59.40

Zašifrovaný soubor virem ransomware Locky má zhruba takovýto název:

Snímek obrazovky 2016-05-03 v 15.01.41

Návod na odstranění viru

Ideální na diagnostiku viru Locky a podobné „havěti“, je free program FARBAR Recovery Scan Tool, který je ale pro pokročilé uživatele. Musíme jej ovšem stáhnout z důvěryhodných stránek, jelikož existují i napodobeniny.

Po instalaci, resp. spuštění nástroje a proskenování PC jsou nalezeny všechny běžící procesy, služby, které se po startu spouští, změněné soubory za poslední měsíc, schedulery, a zkrátka vše, co někde běží nebo se může samo spustit a případně ovlivnit systém. Vše je vypsáno ve dvou souborech, kde si můžete vybrat, co do systému nepatří a následně chcete odstranit. Pokud si tím nejste jistí, strýček google poradí.

K odstranění vytvoříme textový soubor fixlist.txt ve složce, kde je farbar, tedy spouštěcí soubor Frst.exe. Do něj zkopírujeme řádky s položkami, které chceme ze systému odstranit způsobem, jaký je uveden níže.

start
CreateRestorePoint:
closeprocesses:
emptytemp:
RemoveProxy:
Reg: Reg Delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /F
Reg: Reg Add "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /F
end

Pokud máme vybrané všechny položky, které do systému nepatří, klikneme ve farbaru na tlačítko fix a farbar vybrané položky odstraní. Po restartu by již nechtěné položky neměly naběhnout, ale doporučujeme, proskenovat počítač programem farbar ještě jednou a znovu projít jeho logy.

farbar

Ransomware většinou číhá v naplánovaných úlohách, takže se v reportu farbaru zaměříme i na ně a odstraníme úlohy, které do systému nepatří.

Můžeme případně použít nějaký komerční nástroj zaměřený na ransomware, který je na ovládání jednodušší, ale dle našich zkušeností není tak účinný, jako free utility.

Free utilita malwarebytes je účinná nejen proti ransomware Locky, ale i proti trojským koním a podobným virům. Ovládání je celkem jednoduché. Jako další proti ransomware můžeme použít např. Rogue Application Remover od Esetu.

Pokud si nejste jisti co použít a nevíte si rady, neváhejte nás kontaktovat. Rádi Vám poradíme neboť při neodborné manipulaci můžete udělat více škody než užitku!

No Comments

Post a Comment

Comment
Name
Email
Website