PyLocky Ransomware - это вредоносная программа для блокировки файлов, созданная для того, чтобы блокировать важные файлы и требовать выкуп от жертв в обмен на восстановление данных. Этот новый вымогатель использует расширение .lockymap для маркировки файлов, которые он шифрует. Он начинает выполнять свою атаку, отбрасывая в систему следующую вредоносную нагрузку:
Имя: facture_4739149_08.26.2018.exe
SHA256:8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9
Размер: 5.3 MB
После удаления своей вредоносной нагрузки эта крипто-вредоносная программа подключает зараженный компьютер к удаленному серверу, где он загружает больше вредоносных файлов и помещает их в системные папки. Затем он применяет модуль сбора данных, используемый для сбора данных о пользователе и компьютере. Вредоносные файлы, которые были загружены ранее вместе с полученными данными, используются для другого модуля, называемого скрытой защитой. Это позволяет PyLocky Ransomware выполнять свою атаку без обнаружения каких-либо программ безопасности или антивирусных программ, установленных в системе. Он также изменяет некоторые ключи реестра и записи в реестре Windows, такие как:
После того, как все изменения будут выполнены, вымогатель PyLocky начнет шифровать целевые файлы, используя сложный шифровальный шифр. После шифрования он добавляет расширение .lockymap к каждому из зашифрованных файлов и выпускает выкупную записку с именем «LOCKY-README.txt», которая содержит следующее содержимое:
"Пожалуйста, имейте в виду:
Все ваши файлы, фотографии и данные были зашифрованы с помощью шифрования Military Grade Encryption RSA ABS-256.
Ваша информация не потеряна. Но в зашифрованном виде.
Чтобы восстановить файлы, вам необходимо приобрести Decrypter.
Выполните следующие действия, чтобы восстановить файлы.
1 * Загрузите Tor Browser. (Просто введите в Google «Скачать Tor»
2 'Просмотрите URL: http://4wcgqlckaazungm.onion/index.php
3 * Купите Decryptor для восстановления ваших файлов.
Это очень просто. Если вы не верите, что мы можем восстановить ваши файлы, то вы можете бесплатно восстановить 1 файл формата изображения.
Имейте в виду, что время идет. Цена будет удваиваться каждые 96 часов, поэтому используйте ее с умом.
Ваш уникальный идентификатор:
ВНИМАНИЕ:
Пожалуйста, не пытайтесь изменить или удалить зашифрованный файл, так как восстановить его будет сложно.
ПОДДЕРЖКА:
Вы можете связаться со службой поддержки, чтобы помочь вам расшифровать ваши файлы.
Нажмите на поддержку на http://4wcgqlckaazungm.onion/index.php ”
PyLocky Ransomware распространяется с использованием вредоносных спам-рассылок. Создатели этой угрозы встраивают зараженное вложение в электронные письма со спамом и отправляют их, используя спамбот. Мошенники могут даже использовать обманчивую тактику, чтобы обманным путем заставить вас немедленно открыть вредоносное ПО, чего вы не должны делать. Таким образом, прежде чем открывать какие-либо электронные письма, убедитесь, что вы тщательно проверили их.
Чтобы успешно уничтожить PyLocky Ransomware с вашего компьютера, обратитесь к руководству по удалению, изложенному ниже.
% TEMP%
% WINDIR% System32Tasks
% APPDATA% MicrosoftWindowsTemplates
% USERPROFILE% Загрузки
% USERPROFILE% рабочий стол
HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTCПанель управленияDesktop
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESпрограммное обеспечениеMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
Попробуйте восстановить зашифрованные файлы, используя теневые копии томов.
Восстановление зашифрованных файлов с помощью Windows Предыдущие версии Эта функция будет эффективной только в том случае, если PyLocky Ransomware не удалил теневые копии ваших файлов. Но, тем не менее, это один из лучших и бесплатных методов, так что его стоит попробовать.
Чтобы восстановить зашифрованный файл, щелкните правой кнопкой мыши на нем и выберите Объекты, появится новое окно, затем перейдите к Предыдущие версии, Он загрузит предыдущую версию файла до его изменения. После загрузки выберите любую из предыдущих версий, отображаемых в списке, как показано на рисунке ниже. А затем нажмите Восстановить .
Примечание: Следующий процесс удалит все ваши установленные игры.
«Загрузчик операционной системы не имеет подписи. Несовместимо с SecureBoot. Все загрузочные устройства не прошли проверку безопасной загрузки ».Эта ошибка может быть вызвана двумя основными причинами: возможно, ваш компьютер использует неверный не аутентичный файл образа загрузки или операционная система Windows установлена в режиме BIOS. Чтобы исправить эту ошибку, вы можете попробовать выполнить «холодную» загрузку или перезагрузить BIOS или перезагрузить компьютер с Windows 10.
«Этот параметр политики позволяет скрыть интерфейс переключения пользователя в пользовательском интерфейсе входа в систему, меню« Пуск »и диспетчере задач. Если вы включите этот параметр политики, интерфейс переключения пользователя будет скрыт от пользователя, который пытается войти в систему или вошел в систему на компьютере, к которому применена эта политика. Места, в которых интерфейс Switch User отображается в пользовательском интерфейсе входа в систему, меню «Пуск» и диспетчере задач. Если вы отключите или не настроите этот параметр политики, пользовательский интерфейс Switch будет доступен пользователю в трех местах ».
MyFunCards Toolbar - это расширение для взлома браузера для Google Chrome, созданное Mindspark Interactive. Это расширение устанавливает панель инструментов для вашего браузера, изменяет поисковую систему по умолчанию и снижает общую производительность вашего браузера. Это расширение имеет доступ к вашей личной информации, добавляет в результаты поиска потенциально опасную рекламу и, возможно, нарушает работу некоторых функций браузера. Поскольку это расширение внедряет свой код в слишком много файлов и имеет доступ ко всем деталям вашего браузера, после его удаления вы потеряете все настройки браузера, темы и информацию для входа. MyFunCards считается потенциально нежелательным приложением и, как следствие, помечается для необязательного удаления многими программами защиты от вредоносных программ.
EasyEmailSuite — это расширение браузера, созданное MyWay, которое может поставляться в комплекте с другим бесплатным программным обеспечением, которое вы загружаете из Интернета. После установки EasyEmailSuite установит домашнюю страницу и поисковую систему для вашего веб-браузера на http://search.myway.com. EasyEmailSuite — это приложение, которое позволяет пользователям получать доступ к своей электронной почте. Первоначально это приложение может показаться законным и полезным, однако EasyEmailSuite классифицируется как угонщик браузера. Это расширение изменяет вашу домашнюю страницу и поисковую систему на MyWay. Он отслеживает вашу поисковую активность и собирает данные, которые затем продаются/пересылаются для отображения дополнительной нежелательной рекламы в вашем браузере. Несколько антивирусных сканеров классифицировали EasyEmailSuite как угонщик браузера / ПНП, и поэтому их не рекомендуется хранить на вашем компьютере.