O que é o PyLocky ransomware? E como ele executa seu ataque?

O PyLocky ransomware é um malware de bloqueio de arquivos criado para bloquear arquivos importantes e exigir resgate das vítimas em troca de recuperação de dados. Este novo ransomware usa a extensão .lockymap para marcar os arquivos que criptografa. Ele começa a executar seu ataque descartando a seguinte carga maliciosa no sistema:

Nome: facture_4739149_08.26.2018.exe

SHA256:8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9

Tamanho: 5.3 MB

Depois de abandonar sua carga maliciosa, esse malware criptografado conecta o computador infectado a um servidor remoto, onde baixa mais arquivos maliciosos e os coloca nas pastas do sistema. Em seguida, aplica um módulo de coleta de dados usado para coletar dados sobre o usuário e o computador. Os arquivos maliciosos que foram baixados anteriormente, juntamente com os dados obtidos, são usados ​​para outro módulo chamado proteção furtiva. Isso permite que o PyLocky ransomware execute seu ataque sem detecção de nenhum programa de segurança ou antivírus instalado no sistema. Também modifica algumas chaves do registro e entradas no Registro do Windows, como:

• PanelDesktop HKEY_CURRENT_USERControl
• HKEY_USERS.DEFAULTControl PanelDesktop
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Depois que todas as modificações forem realizadas, o PyLocky ransomware começará a criptografar seus arquivos de destino usando uma sofisticada cifra de criptografia. Após a criptografia, ele adiciona a extensão .lockymap a cada um dos arquivos criptografados e libera uma nota de resgate denominada “LOCKY-README.txt”, que contém o seguinte conteúdo:

“Por favor, seja avisado:

Todos os seus arquivos, imagens, documentos e dados foram criptografados com o Military Grade Encryption RSA ABS-256.

Suas informações não são perdidas. Mas criptografado.

Para restaurar seus arquivos, você precisa comprar o Decrypter.

Siga estas etapas para restaurar seus arquivos.

1 * Faça o download do navegador Tor. (Basta digitar no Google "Download Tor"

2 'Navegue para o URL: http://4wcgqlckaazungm.onion/index.php

3 * Compre o decodificador para restaurar seus arquivos.

É muito simples. Se você não acredita que podemos restaurar seus arquivos, você pode restaurar 1 arquivo de formato de imagem gratuitamente.

Esteja ciente de que o tempo está passando. O preço será dobrado a cada 96 horas, portanto, use-o com sabedoria.

Seu ID exclusivo:

CUIDADO:

Por favor, não tente modificar ou excluir nenhum arquivo criptografado, pois será difícil restaurá-lo.

DAR SUPORTE:

Você pode entrar em contato com o suporte para ajudar a descriptografar seus arquivos para você.

Clique no suporte em http://4wcgqlckaazungm.onion/index.php ”

Como o PyLocky ransomware se espalha pela Web?

O ransomware PyLocky se espalha usando campanhas maliciosas de email de spam. Os criadores dessa ameaça incorporam um anexo infectado a emails de spam e os enviam usando um spambot. Os trapaceiros podem até usar táticas enganosas para induzi-lo a abrir o malware imediatamente, algo que você não deve fazer. Portanto, antes de abrir qualquer e-mail, verifique se você os verificou completamente.

Para obliterar com sucesso o PyLocky ransomware do seu computador, consulte o guia de remoção descrito abaixo.

- Inicie o Gerenciador de tarefas simplesmente tocando nas teclas Ctrl + Shift + Esc no teclado.

- No Gerenciador de tarefas, vá para a guia Processos e procure o processo chamado facture_4739149_08.26.2018.exe e qualquer processo de aparência suspeita que consome a maioria dos recursos da CPU e provavelmente está relacionado ao PyLocky ransomware.

- Depois disso, feche o Gerenciador de tarefas.

- Toque em Win + R, digite appwiz.cpl e clique em OK ou toque em Enter para abrir a lista de programas instalados no Painel de Controle.

- Na lista de programas instalados, procure pelo PyLocky ransomware ou algo semelhante e desinstale-o.

- Em seguida, feche o Painel de controle e toque nas teclas Win + E para iniciar o File Explorer.

- Navegue para os seguintes locais abaixo e procure pelos componentes maliciosos do PyLocky ransomware, como facture_4739149_08.26.2018.exe LOCKY-README.txt bem como outros arquivos suspeitos, exclua todos eles.

• % TEMP%
• % WINDIR% System32Tasks
• % APPDATA% MicrosoftWindowsTemplates
• % USERPROFILE% de downloads
• % USERPROFILE% Desktop

- Feche o Gerenciador de arquivos.

Antes de prosseguir para as próximas etapas abaixo, verifique se você é conhecedor de tecnologia o suficiente para saber exatamente como usar e navegar no Registro do seu computador. Lembre-se de que qualquer alteração que você fizer terá um grande impacto no seu computador. Para poupar problemas e tempo, basta usar Restoro, esta ferramenta de sistema é comprovadamente segura e excelente o suficiente para que os hackers não possam invadir sua conta. Mas se você pode gerenciar bem o Registro do Windows, siga todos os passos para as próximas etapas.

- Toque em Win + R para abrir Executar e digite regedit no campo e toque em enter para abrir o Registro do Windows.

- Navegue até o seguinte caminho:

• PanelDesktop HKEY_CURRENT_USERControl
• HKEY_USERS.DEFAULTControl PanelDesktop
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

- Exclua as chaves e subchaves do Registro criadas pelo PyLocky ransomware.

- Feche o Editor do Registro e esvazie a Lixeira.

Tente recuperar seus arquivos criptografados usando as cópias do Shadow Volume

Restaurando seus arquivos criptografados usando o Windows ' Versões anteriores O recurso só será eficaz se o ransomware PyLocky não tiver excluído as cópias de sombra dos seus arquivos. Mas, ainda assim, este é um dos métodos melhores e gratuitos que existem, por isso definitivamente vale a pena tentar.

Para restaurar o arquivo criptografado, clique com o botão direito sobre ele e selecione Propriedades, uma nova janela será exibida e prossiga para Versões anteriores. Ele carregará a versão anterior do arquivo antes de ser modificado. Após o carregamento, selecione qualquer uma das versões anteriores exibidas na lista como a da ilustração abaixo. E então clique no restaurar botão.

Conclua o processo de remoção do PyLocky ransomware usando um programa confiável e confiável como Restoro. Consulte as seguintes diretrizes sobre como usá-lo.

1. Ligue o seu computador. Se já estiver ligado, você deve reinicialização
2. Depois disso, o BIOS A tela será exibida, mas se o Windows aparecer, reinicie o computador e tente novamente. Quando estiver na tela do BIOS, repita pressionando F8, fazendo assim o Opção avançada Aparece.

3. Para navegar no Opção avançada use as teclas de seta e selecione Seguro Modo com Rede então aperte
4. O Windows agora carregará o SeguroModo com rede.
5. Pressione e segure ambos R chave e Tecla do Windows.

6. Se feito corretamente, o Caixa de Execução do Windows vai aparecer.
7. Digite o endereço da URL, https://errortools.com/download/restoro na caixa de diálogo Executar e toque em Enter ou clique em OK.
8. Depois disso, ele fará o download do programa. Aguarde o download terminar e abra o iniciador para instalar o programa.
9. Depois que o processo de instalação estiver concluído, execute o Restoro para executar uma verificação completa do sistema.

10. Após a conclusão da verificação, clique no botão "Corrija, limpe e otimize agora"botão.