Che cos'è il ransomware PyLocky? E come esegue il suo attacco?
PyLocky ransomware è un malware per il blocco dei file creato per bloccare file importanti e richiedere il riscatto dalle vittime in cambio del recupero dei dati. Questo nuovo ransomware utilizza l'estensione .lockymap per contrassegnare i file che crittografa. Comincia a eseguire il suo attacco rilasciando il seguente payload dannoso nel sistema:
Nome: facture_4739149_08.26.2018.exe
SHA256:8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9
Dimensione: 5.3 MB
Dopo aver eliminato il suo payload dannoso, questo cripto-malware collega il computer infetto a un server remoto dove scarica più file dannosi e li posiziona nelle cartelle di sistema. Quindi applica un modulo di raccolta dati utilizzato per raccogliere dati sull'utente e sul computer. I file dannosi scaricati in precedenza insieme ai dati ottenuti vengono utilizzati per un altro modulo chiamato protezione invisibile. Ciò consente a PyLocky ransomware di eseguire il suo attacco senza essere rilevato da alcun programma di sicurezza o antivirus installato nel sistema. Modifica anche alcune chiavi di registro e voci nel registro di Windows come:
- HKEY_CURRENT_USERControl PanelDesktop
- HKEY_USERS.DEFAULTPannello di controlloDesktop
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
Una volta eseguite tutte le modifiche, PyLocky ransomware inizierà a crittografare i suoi file di destinazione utilizzando un sofisticato codice di crittografia. A seguito della crittografia, aggiunge l'estensione .lockymap a ciascuno dei file crittografati e rilascia una nota di riscatto denominata "LOCKY-README.txt" che contiene il seguente contenuto:
“Si prega di essere avvisati:
Tutti i tuoi file, immagini, documenti e dati sono stati crittografati con crittografia di livello militare RSA ABS-256.
Le tue informazioni non vanno perse. Ma crittografato.
Per poter ripristinare i tuoi file, devi acquistare un Decrypter.
Segui questi passaggi per ripristinare i tuoi file.
1 * Scarica Tor Browser. (Basta digitare google "Scarica Tor"
2 'Sfoglia per URL: http://4wcgqlckaazungm.onion/index.php
3 * Acquista Decryptor per ripristinare i tuoi file.
È molto semplice. Se non ritieni che possiamo ripristinare i tuoi file, puoi ripristinare 1 file in formato immagine gratuitamente.
Fai attenzione, il tempo stringe. Il prezzo sarà raddoppiato ogni 96 ore quindi usalo con saggezza.
Il tuo ID univoco:
ATTENZIONE:
Non tentare di modificare o eliminare alcun file crittografato in quanto sarà difficile ripristinarlo.
SUPPORTO:
Puoi contattare l'assistenza per aiutarti a decifrare i tuoi file.
Fai clic sul supporto su http://4wcgqlckaazungm.onion/index.php ”
In che modo il ransomware PyLocky si diffonde sul Web?
Il ransomware PyLocky si diffonde tramite campagne e-mail di spam dannose. I creatori di questa minaccia incorporano un allegato infetto nelle e-mail di spam e le inviano tramite uno spambot. I truffatori possono persino usare tattiche ingannevoli per indurti ad aprire immediatamente il malware pieno di malware che è qualcosa che non devi fare. Pertanto, prima di aprire qualsiasi e-mail, assicurati di averli accuratamente controllati.
Per cancellare con successo il ransomware PyLocky dal computer, consultare la guida alla rimozione di seguito.
- Passo 1: Avvia Task Manager semplicemente toccando i tasti Ctrl + Maiusc + Esc sulla tastiera.
- Passo 2: Sotto Task Manager, vai alla scheda Processi e cerca il processo denominato facture_4739149_08.26.2018.exe e qualsiasi processo dall'aspetto sospetto che occupa la maggior parte delle risorse della CPU ed è probabilmente correlato al ransomware PyLocky.
- Passo 3: Successivamente, chiudere Task Manager.
- Passo 4: Tocca Win + R, digita appwiz.cpl e fai clic su OK o tocca Invio per aprire l'elenco dei programmi installati sul Pannello di controllo.
- Passo 5: Sotto l'elenco dei programmi installati, cerca PyLocky ransomware o qualcosa di simile, quindi disinstallalo.
- Passo 6: Quindi, chiudi il Pannello di controllo e tocca i tasti Win + E per avviare Esplora file.
- Passo 7: Passare alle seguenti posizioni di seguito e cercare i componenti dannosi di PyLocky ransomware come facture_4739149_08.26.2018.exe ed Locky-README.txt così come altri file sospetti, quindi eliminali tutti.
% TEMP%
% WINDIR% System32Tasks
% Appdata% MicrosoftWindowsTemplates
% USERPROFILE% Download
% USERPROFILE% Desktop
- Passo 8: Chiudi Esplora file.
- Passo 9: Tocca Win + R per aprire Esegui, quindi digita Regedit nel campo e toccare Invio per visualizzare il registro di Windows.
- Passo 10: Passare al seguente percorso:
HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTPannello di controlloDesktop
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
- Passo 11: Elimina le chiavi di registro e le sottochiavi create dal ransomware PyLocky.
- Passo 12: Chiudi l'editor del registro e svuota il cestino.
Prova a recuperare i tuoi file crittografati usando le copie di Shadow Volume
Ripristino dei file crittografati utilizzando Windows Versioni precedenti la funzionalità sarà efficace solo se il ransomware PyLocky non ha eliminato le copie shadow dei file. Tuttavia, questo è uno dei metodi migliori e gratuiti disponibili, quindi vale sicuramente la pena provare.
Per ripristinare il file crittografato, tasto destro del mouse su di esso e selezionare Properties, verrà visualizzata una nuova finestra, quindi procedere a Versioni precedenti. Caricherà la versione precedente del file prima che fosse modificato. Dopo il caricamento, selezionare una delle versioni precedenti visualizzate nell'elenco come quella nell'illustrazione seguente. E quindi fai clic su Ripristinare pulsante.