Locky virus - Come rimuoverlo?

Locky virus è uno dei ransomware più pericolosi che blocca i file personali degli utenti di computer e chiede loro di pagare un riscatto se vogliono recuperare i loro file. Locky Ransomware modifica i nomi dei file crittografati in un’unica combinazione di lettere e cifre composta da 16 caratteri e aggiunge l’estensione del file .locky. Secondo il programma, per sbloccare i file, è necessario il codice di decodifica, che è possibile ottenere se si paga il riscatto. Il programma utilizza RSA-2048 (quindi, a volte viene chiamato come virus RSA-2048) e algoritmi AES-1024 per crittografare i file.

Anche se ci potrebbero essere diversi modi per distribuire questa infezione, la più popolare è tramite e-mail infette. Prima di tutto, riceverai una e-mail nella tua casella di posta, con allegato un documento Word. Se apri il documento, tutto ciò che potrai vedere è solo un errore casuale e un suggerimento che ti dirà “Abilita la macro se la codifica dei dati non è corretta”. Gli hacker vogliono che tu abiliti le Macros in modo che il codice contenuto nel documento .doc possa essere eseguito e infetto il tuo computer. Salverà automaticamente il virus sul tuo PC. Una volta che questo è stato fatto, il file salvato servirà come downloader per ottenere le parti necessarie per completare con successo l’infezione. Alla fine, i file verranno crittografati dal ransomware di estensione .locky.


.locky extension virus

Probabilmente la caratteristica peggiore di Locky è che ha spianato la strada alle infezioni da ransomware. Poiché è stato un successo e un pericolo quasi senza precedenti, abbiamo molti altri virus ransomware come GandCrab (3 versioni del virus), Cryptolocker o Petya.

Caratteristiche principali del virus Locky

Locky può essere facilmente definito uno dei virus informatici più persistenti degli anni passati, poiché molti hacker utilizzano varie tecniche per distribuirlo e infettare sempre più utenti. Ad esempio, abbiamo segnalato una situazione in cui gli hacker hanno inviato 23 milioni di e-mail con il virus Locky o il modo in cui utilizzano i file MHT per distribuire Fareit Trojan e Locky ransomware.


Locky_ransomware

Se i tuoi file sono stati bloccati da Locky Ransomware, lo sfondo del desktop verrà sostituito con un messaggio che dice che devi pagare .5 BTC per ottenere il codice di decodifica. A Counque sia, come dichiarato da NakedSecurity, il prezzo potrebbe salire fino a 1 BTC, che equivale a circa $ 500. Il programma crea anche un file di testo con lo stesso messaggio. Attenzione, Locky malware elimina le copie del volume shadow di tutti i file, rendendo ancora più complicato il ripristino dei file.

Testo originale da una nota di riscatto Locky:

Locky ransomware

All of your files are encrypted with RSA-2048 and AES-128 ciphers. More information about the RSA and AES can be found here: https://en.wikipedia.org/wiki/RSA (crypto system) https://en.wikipedia.org/wiki/Advanced_Encryption_standard Decrypting of your files is only possible with the following steps How to buy decryption? 1. You can make a payment with BitCoins, there are many methods to get them. 2. You should register BitCoin wallet (simplest online wallet OR some other methods of creating wallet) 3. Purchasing BitCoins – Although it’s not yet easy to buy bitcoins, it’s getting simpler every day.

Come ripristinare i file bloccati da Locky

Se disponi di un backup di file crittografati, hai anche una soluzione a questo problema. Puoi semplicemente ripristinare i tuoi file da questo backup. Se non lo fai, sfortunatamente potresti perdere ciò che Locky ha bloccato. Non ci sono garanzie che dopo aver effettuato un pagamento otterrai un codice che funzioni. Se paghi, potresti semplicemente dare via dei soldi ai criminali informatici.

Non aprire allegati da mittenti sconosciuti o potresti essere infettato da Locky Ransomware. Raccomando il backup di file importanti utilizzando alcuni servizi cloud. Vale la pena menzionare che il virus Locky utilizza metodi di distribuzione difficili e aggressivi, come descritto nel Blog di Symantec.

Esistono, infatti, 2 versioni del ransomware che utilizzano l’estensione .locky: il normale virus Locky e AutoLocky. I file crittografati dal secondo ransomware possono essere decifrati utilizzando AutoLocky Decryptor di Emsisoft. Se i tuoi file sono stati crittografati dal normale Locky, la scelta migliore è ripristinare i file dai backup o provare a ripristinare i file cancellati utilizzando il software Data Recovery come Data Recovery PRO.

Ti consigliamo inoltre di ottenere la migliore protezione antivirus e installare una delle applicazioni anti-malware: Spyhunter o StopZilla.

Aggiornamenti del virus Locky

Esiste una versione copiata di Locky Virus che utilizza uno schema di crittografia molto più semplice. I suoi file danneggiati potrebbero essere recuperati da AutoLocky Decryptor di Emsisoft. Puoi sempre fare un tentativo se i tuoi file hanno estensione .locky e altri metodi di recupero non sono riusciti.


Evolution of locky

Aggiornamento di ottobre 2016: il virus Locky potrà anche essere stato un’infezione spaventosa e ampiamente distribuita, ma ora le vittime possono essere infettate solo accidentalmente poiché questa variante non è più attivamente diffusa. Nuovi ransomware vengono rilasciati e sostituiscono questa variante più vecchia e sono altrettanto spaventosi come questa.

Aggiornamento del 17 novembre 2016: Locky ransomware è stato recentemente distribuito tramite aggiornamenti falsi di Flash Player.

Aggiornamento del 21 novembre 2016: il malware Crypto di Locky ora utilizza l’estensione .aesir per contrassegnare i file crittografati.

Aggiornamento del 5 dicembre 2016. Ora i file crittografati da Locky Crypto-Locker vengono aggiunti con l’estensione .osiris. L’estensione è correlata agli allegati e-mail di spam, che sono file di Excel e contengono macro, che dovrebbero essere abilitati. I file sono chiamati Invoice_INV [numeri casuali] .xls. Le note di riscatto, lasciate da questa nuova variante, sono denominate DesktopOSIRIS.bmp e DesktopOSIRIS.htm.

Aggiornamento del 20 gennaio 2017. Dopo un breve periodo di silenzio, il virus Locky rientra in partita. Il suo distributore, Netcurs botnet, è stato notato per avviare campagne di spam. Non sono gigantesche ma sono effettivamente attive. Gli hacker hanno usato i file .zip e .rar da aggiungere alle email di spam dannoso come allegati. I ricercatori di sicurezza pensano che questo potrebbe essere l’inizio di una campagna di spam ancora più grande.

Aggiornamento del 23 gennaio 2017. Anche se i ricercatori di sicurezza hanno notato alcune attività del virus Locky, il numero dei suoi attacchi si è significativamente ridotto.

Aggiornamento del 3 marzo 2017. È stata rilevata una nuova versione del virus Locky ed è firmata digitalmente al fine di ridurre la possibilità che varie minacce anti-malware rilevino il malware in un dispositivo. Questo esemplare utilizza anche l’estensione .osiris.

Aggiornamento del 27 marzo 2017. Locky non sembra andare molto bene. Il 2017 sembra un po’ lento quando si parla di Locky. Attualmente, sono stati notati esemplari ransomware più persistenti e invadenti, mentre Locky sembra rinunciare al suo podio.

Aggiornamento del 24 aprile 2017. Dopo essere stato etichettato come non più attivo, Locky torna con un botto. Ha adottato una vecchia strategia per la distribuzione. Gli hacker stanno diffondendo il payload di Locky tramite e-mail. I loro titoli sembrano essere qualcosa come “Ricevuta di pagamento”. Di solito, contengono file PDF come allegati. Inoltre Recurs bonnet è stato selezionato per distribuire Locky.

Aggiornamento del 26 giugno 2017. Locky cripto-virus tenta di riconquistare la sua gloria precedente ma il suo tentativo non va come previsto. I controllori di Locky ransomware decidono di daneggiare Internet e dei payload malevoli vengono inviati in modo aggressivo a persone a caso. Tuttavia, gli autori hanno dimenticato che le versioni più recenti del sistema operativo Windows sono state progettate per essere più immuni a tali virus. Di conseguenza, l’infezione era limitata ai file di codifica che si trovano nei dispositivi Windows XP o Vista.

Aggiornamento del 1 settembre 2017. La variante più recente di Locky è stata notificata per essere inserita in una massiccia campagna di spam. Il cripto virus di Lukitus è arrivato in 23 milioni di e-mail ingannevoli, inviate il 28 agosto.

Aggiornamento del 18 settembre 2017. Una nuova estensione di Locky ransomware è stata scoperta oggi, chiamata .ykcol. Alcuni utenti infettati dal virus di questa estensione potrebbero pensare che si tratti di un virus Ykcol, a causa delle informazioni errate pubblicate da alcuni siti Web. Tuttavia, è sempre lo stesso vecchio virus Locky, solo con un’estensione diversa.

Altre versioni di Locky

Il successo e il tasso di infezione relativamente alto del virus originale locky hanno ispirato altri criminali informatici a creare virus ransomware. Non si sono nemmeno presi la briga di pensare a un nuovo nome molto diverso da locky o creare alcuni progressi tecnologici, quindi molti di questi sono molto simili tra loro. Inoltre, molti di loro usano la stessa estensione .locky, quindi gli stessi metodi possono essere applicati per decodificare i file bloccati.

Nome

Caratteristiche uniche

Estensione

Locky Imposter

Proviene dalla Gerania

.locky

ArmaLocky

File distrutti dopo 72 ore

.armadilo1

PowerLocky

Domanda $500 in Bitcoins

.locky

StorageCrypter

Prezzo fisso di 0.4 BTC

.locky

Jhash

Nota di riscatto in spagnolo, il riscatto è solo $10

.locky

Asasin Ransomware

Prezzo fisso di 0/25 BTC

.asasin

Lukitus Ransomware

Genera un’estensione complicata con caratteri esadecimali

.lukitus

syncCrypt Virus

Utilizza la crittografia militare grande, rimuove i file dopo 48 ore

.kk

Diablo6

Utilizza la sessa crittografia di Locky

.diablo6

ODIN ransomware

Prezzo fisso di 0.5 BTC

.odin

Come prevenire il virus Locky

Abbiamo già menzionato che SpyHunter sono dei buoni strumenti in grado di eliminare efficacemente le infezioni dalla famiglia Locky. Tuttavia, ci sono alcune alternative davvero interessanti, come ad esempio Plumbytes Anti-Malware. Ha una funzione di protezione in tempo reale, quindi sarà in grado di fermare il virus in movimento. Uno strumento ancora migliore che ha un motore dedicato alla lotta contro le infezioni ransomware – IObit Malware Fighter. Anche se il ransomware trova il modo di entrare nel tuo computer, questo software non gli permetterà di crittografare i tuoi file.

Strumenti di Malware rimozione automatica

Scarica Spyhunter per Malware rivelazione
(Win)

Nota: processo Spyhunter fornisce la rilevazione del parassita come Locky Virus e aiuta a la sua rimozione per libero. prova limitata disponibile, Terms of use, Privacy Policy, Uninstall Instructions,

Scarica Combo Cleaner per Malware rivelazione
(Mac)

Nota: processo Combo Cleaner fornisce la rilevazione del parassita come Locky Virus e aiuta a la sua rimozione per libero. prova limitata disponibile,

Come rimuovere Locky virus utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi


Per Windows 7 / Vista/ XP
  • Start → Spegni → Riavvia → OK.
  • Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
  • Scegli la Modalità Provvisoria con Prompt di Comandi. Windows 7 enter safe mode

Per Windows 8 / 10
  • Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia. Windows 8-10 restart to safe mode
  • Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
  • Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.Windows 8-10 enter safe mode

2. Ripristinare i file di sistema e le impostazioni

  • Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
  • Successivamente digita rstrui.exe e premi nuovamente invio. CMD commands
  • Clicca “Avanti” nelle finestre che appariranno. Restore point img1
  • Seleziona uno dei punti di ripristino disponibili prima che Locky virus si sia infiltrato nel tuo sistema e clicca su “Avanti”.Restore point img2
  • Per avviare il ripristino di sistema clicca su "Si"Restore point img3

2. Rimozione complete di Locky virus

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Spyhunter per rimuovere tutti i file malevoli collegati a Locky virus.

3. Ripristino dei file corrotti da Locky virus utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente Locky virus cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
Previous version

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Shadow explorer

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Fonte: https://www.2-viruses.com/remove-locky-virus

Removal guides in other languages

Locky virus (en) 
Ransomware Locky (es) 
Locky Trojaner (de)  Flag of Germany
Locky Ransomware (dk) 
Locky ウイルス (jp) 
Locky Ransomware (nl) 
Locky Ransomware (kr)  Flag of South Korea
Locky virus (se) 
Locky virusas (lt) 
Le virus Locky (fr) 
Vírus Locky (pt) 
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.