Was ist PyLocky Ransomware? Und wie führt es seinen Angriff aus?
PyLocky Ransomware ist eine Malware zum Sperren von Dateien, die erstellt wurde, um wichtige Dateien zu sperren und im Austausch für die Datenwiederherstellung Lösegeld von den Opfern zu verlangen. Diese neue Ransomware verwendet die Erweiterung .lockymap zum Markieren der verschlüsselten Dateien. Der Angriff wird ausgeführt, indem die folgenden schädlichen Nutzdaten im System gelöscht werden:
Name: facture_4739149_08.26.2018.exe
SHA256:8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9
Größe: 5.3 MB
Nach dem Löschen der schädlichen Nutzdaten verbindet diese Krypto-Malware den infizierten Computer mit einem Remote-Server, auf dem weitere schädliche Dateien heruntergeladen und in Systemordnern abgelegt werden. Anschließend wird ein Datenerfassungsmodul angewendet, mit dem Daten über den Benutzer und den Computer erfasst werden. Die zuvor heruntergeladenen schädlichen Dateien werden zusammen mit den erhaltenen Daten für ein anderes Modul verwendet, das als Stealth-Schutz bezeichnet wird. Auf diese Weise kann PyLocky Ransomware seinen Angriff ausführen, ohne dass Sicherheits- oder Antivirenprogramme auf dem System erkannt werden. Außerdem werden einige Registrierungsschlüssel und Einträge in der Windows-Registrierung geändert, z.
- HKEY_CURRENT_USERControl PanelDesktop
- HKEY_USERS.DEFAULTSystemsteuerungDesktop
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
Sobald alle Änderungen vorgenommen wurden, beginnt PyLocky Ransomware mit der Verschlüsselung der Zieldateien mithilfe einer ausgeklügelten Verschlüsselungsverschlüsselung. Nach der Verschlüsselung wird jeder verschlüsselten Datei die Erweiterung .lockymap hinzugefügt und eine Lösegeldnotiz mit dem Namen "LOCKY-README.txt" veröffentlicht, die den folgenden Inhalt enthält:
"Bitte beachten Sie:
Alle Ihre Dateien, Bilder, Dokumente und Daten wurden mit Military Grade Encryption RSA ABS-256 verschlüsselt.
Ihre Daten gehen nicht verloren. Aber verschlüsselt.
Damit Sie Ihre Dateien wiederherstellen können, müssen Sie einen Decrypter erwerben.
Befolgen Sie diese Schritte, um Ihre Dateien wiederherzustellen.
1 * Laden Sie den Tor-Browser herunter. (Geben Sie einfach Google "Download Tor" ein.
2 'Navigieren Sie zur URL: http://4wcgqlckaazungm.onion/index.php
3 * Kaufen Sie den Entschlüsseler, um Ihre Dateien wiederherzustellen.
Es ist sehr einfach. Wenn Sie nicht glauben, dass wir Ihre Dateien wiederherstellen können, können Sie 1 Datei im Bildformat kostenlos wiederherstellen.
Seien Sie sich bewusst, dass die Zeit tickt. Der Preis wird alle 96 Stunden verdoppelt, also setzen Sie ihn mit Bedacht ein.
Ihre eindeutige ID:
ACHTUNG:
Bitte versuchen Sie nicht, verschlüsselte Dateien zu ändern oder zu löschen, da es schwierig ist, sie wiederherzustellen.
SUPPORT:
Sie können sich an den Support wenden, um Ihre Dateien für Sie zu entschlüsseln.
Klicken Sie auf Support unter http://4wcgqlckaazungm.onion/index.php. ”
Wie verbreitet sich PyLocky Ransomware im Web?
PyLocky-Ransomware verbreitet sich mithilfe bösartiger Spam-E-Mail-Kampagnen. Die Ersteller dieser Bedrohung binden einen infizierten Anhang in Spam-E-Mails ein und senden sie mit einem Spambot. Crooks können sogar irreführende Taktiken anwenden, um Sie dazu zu bringen, die mit Malware beladene sofort zu öffnen, was Sie nicht tun dürfen. Stellen Sie daher vor dem Öffnen von E-Mails sicher, dass Sie diese gründlich überprüft haben.
Informationen zum erfolgreichen Löschen der PyLocky-Ransomware von Ihrem Computer finden Sie in der unten aufgeführten Entfernungsanleitung.
- Schritt 1: Starten Sie den Task-Manager, indem Sie einfach auf Ihrer Tastatur auf Strg + Umschalt + Esc-Tasten tippen.
- Schritt 2: Wechseln Sie im Task-Manager zur Registerkarte Prozesse und suchen Sie nach dem genannten Prozess facture_4739149_08.26.2018.exe und jeder verdächtig aussehende Prozess, der die meisten Ressourcen Ihrer CPU in Anspruch nimmt und höchstwahrscheinlich mit PyLocky-Ransomware zusammenhängt.
- Schritt 3: Schließen Sie danach den Task-Manager.
- Schritt 4: Tippen Sie auf Win + R und geben Sie ein appwiz.cpl Klicken Sie auf OK oder tippen Sie auf die Eingabetaste, um die Liste der installierten Programme in der Systemsteuerung zu öffnen.
- Schritt 5: Suchen Sie in der Liste der installierten Programme nach PyLocky-Ransomware oder etwas Ähnlichem und deinstallieren Sie es dann.
- Schritt 6: Schließen Sie als Nächstes die Systemsteuerung und tippen Sie auf die Tasten Win + E, um den Datei-Explorer zu starten.
- Schritt 7: Navigieren Sie zu den folgenden Speicherorten und suchen Sie nach den schädlichen Komponenten von PyLocky Ransomware, z facture_4739149_08.26.2018.exe und LOCKY-README.txt sowie andere verdächtige Dateien, löschen Sie dann alle.
% TEMP%
% WINDIR% System32Tasks
% APPDATA% MicrosoftWindowsTemplates
% USERPROFILE% Downloads
% USERPROFILE% Desktop
- Schritt 8: Schließen Sie den Datei-Explorer.
- Schritt 9: Tippen Sie auf Win + R, um Ausführen zu öffnen, und geben Sie dann ein Regedit in das Feld und tippen Sie auf die Eingabetaste, um die Windows-Registrierung aufzurufen.
- Schritt 10: Navigieren Sie zu folgendem Pfad:
HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTSystemsteuerungDesktop
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
- Schritt 11: Löschen Sie die von PyLocky Ransomware erstellten Registrierungsschlüssel und Unterschlüssel.
- Schritt 12: Schließen Sie den Registrierungseditor und leeren Sie den Papierkorb.
Versuchen Sie, Ihre verschlüsselten Dateien mithilfe der Shadow Volume-Kopien wiederherzustellen
Wiederherstellen Ihrer verschlüsselten Dateien mit Windows Vorgängerversionen Die Funktion ist nur wirksam, wenn PyLocky Ransomware die Schattenkopien Ihrer Dateien nicht gelöscht hat. Trotzdem ist dies eine der besten und kostenlosesten Methoden, die es gibt. Es ist also definitiv einen Versuch wert.
So stellen Sie die verschlüsselte Datei wieder her, Rechtsklick darauf, und wählen Sie Ferienhäuser, es öffnet sich ein neues Fenster, dann fahren Sie mit fort Vorgängerversionen. Es wird die vorherige Version der Datei geladen, bevor sie geändert wurde. Wählen Sie nach dem Laden eine der vorherigen Versionen aus, die in der Liste angezeigt werden, wie in der folgenden Abbildung dargestellt. Und dann klicken Sie auf Wiederherstellen .