PyLocky ransomware هو برنامج ضار لقفل الملفات تم إنشاؤه من أجل قفل الملفات المهمة وطلب فدية من الضحايا مقابل استعادة البيانات. يستخدم برنامج الفدية الجديد هذا الامتداد .lockymap في تمييز الملفات التي يشفرها. يبدأ تنفيذ هجومه بإسقاط الحمولة الخبيثة التالية في النظام:
الاسم: facture_4739149_08.26.2018.exe
SHA256:8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9
الحجم: 5.3 MB
بعد إسقاط حمولته الخبيثة ، يقوم برنامج التشفير الخبيث هذا بتوصيل الكمبيوتر المصاب بخادم بعيد حيث يقوم بتنزيل المزيد من الملفات الضارة ووضعها في مجلدات النظام. ثم يقوم بتطبيق وحدة تجميع البيانات المستخدمة لجمع البيانات حول المستخدم والكمبيوتر. يتم استخدام الملفات الضارة التي تم تنزيلها مسبقًا مع البيانات التي تم الحصول عليها لوحدة أخرى تسمى الحماية من التخفي. يسمح هذا لبرنامج الفدية PyLocky بتنفيذ هجومه دون الكشف عن أي برامج أمان أو مكافحة فيروسات مثبتة في النظام. يقوم أيضًا بتعديل بعض مفاتيح التسجيل والإدخالات في سجل Windows مثل:
بمجرد تنفيذ جميع التعديلات ، سيبدأ PyLocky ransomware في تشفير الملفات المستهدفة باستخدام تشفير متطور. بعد التشفير ، يضيف الامتداد .lockymap إلى كل ملف من الملفات المشفرة ويصدر ملاحظة فدية باسم "LOCKY-README.txt" والتي تحتوي على المحتوى التالي:
"الرجاء الانتباه:
تم تشفير جميع ملفاتك وصورك وبياناتك باستخدام التشفير العسكري RSA ABS-256.
لم تضيع المعلومات الخاصة بك. لكن مشفر.
لكي تتمكن من استعادة ملفاتك ، يجب عليك شراء Decrypter.
اتبع هذه الخطوات لاستعادة ملفاتك.
1 * قم بتنزيل متصفح Tor. (اكتب فقط في google "تنزيل Tor"
2 'تصفح إلى URL: http://4wcgqlckaazungm.onion/index.php
3 * شراء Decryptor لاستعادة الملفات الخاصة بك.
أنها بسيطة جدا. إذا كنت لا تعتقد أنه يمكننا استعادة ملفاتك ، فيمكنك استعادة ملف واحد من تنسيق الصورة مجانًا.
كن على علم أن الوقت يمر. سيتم مضاعفة السعر كل 96 ساعة لذا استخدمه بحكمة.
المعرف الفريد الخاص بك:
تنبيه:
من فضلك لا تحاول تعديل أو حذف أي ملف مشفر لأنه سيكون من الصعب استعادته.
الدعم:
يمكنك الاتصال بالدعم للمساعدة في فك تشفير ملفاتك.
انقر فوق الدعم على http://4wcgqlckaazungm.onion/index.php "
ينتشر برنامج الفدية PyLocky باستخدام حملات البريد الإلكتروني العشوائية الضارة. يقوم منشئو هذا التهديد بتضمين مرفق مصاب برسائل البريد الإلكتروني العشوائية وإرسالها باستخدام spambot. قد يستخدم المحتالون تكتيكات خادعة لخداعك لفتح البرنامج المحمّل بالبرامج الضارة على الفور وهو أمر لا يجب عليك فعله. وبالتالي ، قبل فتح أي رسائل بريد إلكتروني ، تأكد من فحصها بدقة.
لطمس PyLocky ransomware بنجاح من جهاز الكمبيوتر الخاص بك ، راجع دليل الإزالة الموضح أدناه.
٪مؤقت٪
٪ WINDIR٪ System32Tasks
٪ APPDATA٪ MicrosoftWindowsTemplates
٪ USERPROFILE٪ تنزيلات
سطح المكتب٪ USERPROFILE٪
PanelDesktop HKEY_CURRENT_USERControl
HKEY_USERS.DEFAULT لوحة التحكم سطح المكتب
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
حاول استعادة الملفات المشفرة باستخدام نسخ Shadow Volume
استعادة الملفات المشفرة باستخدام Windows الإصدارات السابقة لن تكون الميزة فعالة إلا إذا لم يحذف PyLocky ransomware النسخ الاحتياطية لملفاتك. ولكن مع ذلك ، هذه واحدة من أفضل الطرق المجانية الموجودة ، لذا فهي بالتأكيد تستحق التجربة.
لاستعادة الملف المشفر، انقر بزر الماوس الأيمن عليها وحدد عقارات، ستظهر نافذة جديدة ، ثم تابع إلى الإصدارات السابقة. سيتم تحميل الإصدار السابق للملف قبل تعديله. بعد التحميل ، حدد أيًا من الإصدارات السابقة المعروضة في القائمة مثل تلك الموجودة في الرسم التوضيحي أدناه. ثم انقر فوق ملف استعادة .
"بنية القرص تالفة وغير قابلة للقراءة. خطأ 0 × 80070571"
DISM.exe / عبر الإنترنت / تنظيف الصورة / RestoreHealth / المصدر: C: RepairSourceWindows / LimitAccess
"0x8007001F-0x20006 ، فشل التثبيت في مرحلة SAFE_OS بسبب حدوث خطأ أثناء عملية REPLICATE_OC."أشار الخطأ إلى "مرحلة نظام التشغيل الآمن". إنها المرحلة التي بدأت لتثبيت جميع تحديثات Windows المطلوبة. وبالتالي ، قد يكون للسبب المحتمل لهذا الخطأ علاقة بالتنزيل المتقطع والاتصال بالإنترنت وغير ذلك الكثير. على الرغم من أن هذا الخطأ قد يكون ناتجًا عن العديد من العوامل ، إلا أن إصلاحه لا ينبغي أن يكون بهذه الصعوبة. يمكنك محاولة إعادة تعيين مكونات Windows Update أو حذف ذاكرة التخزين المؤقت لـ Windows Update. يمكنك أيضًا تعطيل كل من جدار الحماية وبرنامج مكافحة الفيروسات مؤقتًا أو تشغيل Windows Update في حالة Clean Boot ، بالإضافة إلى تشغيل مستكشف أخطاء Windows Update ومصلحها. لبدء استكشاف الخطأ وإصلاحه ، اتبع كل واحد من الاقتراحات الواردة أدناه.
"تم حظر صفحة الويب هذه بواسطة ملحق (ERR_BLOCKED_BY_CLIENT)"قد يكون هذا النوع من الخطأ ، كما تمت الإشارة إليه ، ناتجًا عن امتداد أو مكون إضافي في Chrome يحظر صفحة الويب. من الممكن أيضًا أن يكون إصدار Chrome قديمًا أو قد يكون هناك أكثر من 100 إشارة مرجعية في مدير الإشارات المرجعية. قبل استكشاف المشكلة وإصلاحها ، تأكد من تنزيل أحدث إصدار من Google Chrome ومعرفة ما إذا كان يعمل على إصلاح الخطأ. إذا لم يحدث ذلك ، فيمكنك محاولة فتح صفحة ويب في وضع التصفح المتخفي أو تعطيل الإضافة التي تسبب المشكلة وإزالتها. يمكنك أيضًا محاولة إزالة أي إشارات مرجعية زائدة.