Что такое PyLocky Ransomware? И как он выполняет свою атаку?
PyLocky Ransomware - это вредоносная программа для блокировки файлов, созданная для того, чтобы блокировать важные файлы и требовать выкуп от жертв в обмен на восстановление данных. Этот новый вымогатель использует расширение .lockymap для маркировки файлов, которые он шифрует. Он начинает выполнять свою атаку, отбрасывая в систему следующую вредоносную нагрузку:
Имя: facture_4739149_08.26.2018.exe
SHA256:8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9
Размер: 5.3 MB
После удаления своей вредоносной нагрузки эта крипто-вредоносная программа подключает зараженный компьютер к удаленному серверу, где он загружает больше вредоносных файлов и помещает их в системные папки. Затем он применяет модуль сбора данных, используемый для сбора данных о пользователе и компьютере. Вредоносные файлы, которые были загружены ранее вместе с полученными данными, используются для другого модуля, называемого скрытой защитой. Это позволяет PyLocky Ransomware выполнять свою атаку без обнаружения каких-либо программ безопасности или антивирусных программ, установленных в системе. Он также изменяет некоторые ключи реестра и записи в реестре Windows, такие как:
- HKEY_CURRENT_USERControl PanelDesktop
- HKEY_USERS.DEFAULTCПанель управленияDesktop
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- HKEY_LOCAL_MACHINESпрограммное обеспечениеMicrosoftWindowsCurrentVersionRunOnce
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
После того, как все изменения будут выполнены, вымогатель PyLocky начнет шифровать целевые файлы, используя сложный шифровальный шифр. После шифрования он добавляет расширение .lockymap к каждому из зашифрованных файлов и выпускает выкупную записку с именем «LOCKY-README.txt», которая содержит следующее содержимое:
"Пожалуйста, имейте в виду:
Все ваши файлы, фотографии и данные были зашифрованы с помощью шифрования Military Grade Encryption RSA ABS-256.
Ваша информация не потеряна. Но в зашифрованном виде.
Чтобы восстановить файлы, вам необходимо приобрести Decrypter.
Выполните следующие действия, чтобы восстановить файлы.
1 * Загрузите Tor Browser. (Просто введите в Google «Скачать Tor»
2 'Просмотрите URL: http://4wcgqlckaazungm.onion/index.php
3 * Купите Decryptor для восстановления ваших файлов.
Это очень просто. Если вы не верите, что мы можем восстановить ваши файлы, то вы можете бесплатно восстановить 1 файл формата изображения.
Имейте в виду, что время идет. Цена будет удваиваться каждые 96 часов, поэтому используйте ее с умом.
Ваш уникальный идентификатор:
ВНИМАНИЕ:
Пожалуйста, не пытайтесь изменить или удалить зашифрованный файл, так как восстановить его будет сложно.
ПОДДЕРЖКА:
Вы можете связаться со службой поддержки, чтобы помочь вам расшифровать ваши файлы.
Нажмите на поддержку на http://4wcgqlckaazungm.onion/index.php ”
Как PyLocky Ransomware распространяется по сети?
PyLocky Ransomware распространяется с использованием вредоносных спам-рассылок. Создатели этой угрозы встраивают зараженное вложение в электронные письма со спамом и отправляют их, используя спамбот. Мошенники могут даже использовать обманчивую тактику, чтобы обманным путем заставить вас немедленно открыть вредоносное ПО, чего вы не должны делать. Таким образом, прежде чем открывать какие-либо электронные письма, убедитесь, что вы тщательно проверили их.
Чтобы успешно уничтожить PyLocky Ransomware с вашего компьютера, обратитесь к руководству по удалению, изложенному ниже.
- Шаг 1: Запустите диспетчер задач, просто нажав клавиши Ctrl + Shift + Esc на клавиатуре.
- Шаг 2: В диспетчере задач перейдите на вкладку Процессы и найдите процесс с именем facture_4739149_08.26.2018.exe и любой подозрительный процесс, который занимает большую часть ресурсов вашего процессора и, скорее всего, связан с вымогателем PyLocky.
- Шаг 3: После этого закройте диспетчер задач.
- Шаг 4: Нажмите Win + R, введите appwiz.cpl и нажмите OK или нажмите Enter, чтобы открыть список установленных программ Панели управления.
- Шаг 5: В списке установленных программ найдите программу-вымогатель PyLocky или что-нибудь подобное, а затем удалите ее.
- Шаг 6: Затем закройте панель управления и нажмите клавиши Win + E, чтобы запустить проводник.
- Шаг 7: Перейдите в следующие местоположения ниже и найдите вредоносные компоненты PyLocky Ransomware, такие как facture_4739149_08.26.2018.exe и Locky-README.txt а также другие подозрительные файлы, затем удалите их все.
% TEMP%
% WINDIR% System32Tasks
% APPDATA% MicrosoftWindowsTemplates
% USERPROFILE% Загрузки
% USERPROFILE% рабочий стол
- Шаг 8: Закройте проводник.
- Шаг 9: Нажмите Win + R, чтобы открыть Run, а затем введите Regedit в поле и нажмите Enter, чтобы открыть реестр Windows.
- Шаг 10: Перейдите по следующему пути:
HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTCПанель управленияDesktop
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESпрограммное обеспечениеMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
- Шаг 11: Удалите ключи реестра и вложенные ключи, созданные PyLocky Ransomware.
- Шаг 12: Закройте редактор реестра и очистите корзину.
Попробуйте восстановить зашифрованные файлы, используя теневые копии томов.
Восстановление зашифрованных файлов с помощью Windows Предыдущие версии Эта функция будет эффективной только в том случае, если PyLocky Ransomware не удалил теневые копии ваших файлов. Но, тем не менее, это один из лучших и бесплатных методов, так что его стоит попробовать.
Чтобы восстановить зашифрованный файл, щелкните правой кнопкой мыши на нем и выберите Объекты, появится новое окно, затем перейдите к Предыдущие версии, Он загрузит предыдущую версию файла до его изменения. После загрузки выберите любую из предыдущих версий, отображаемых в списке, как показано на рисунке ниже. А затем нажмите Восстановить .