De recente iteratie van Locky ransomware is hier. Bestanden worden met een nieuwe extensie versleuteld – .shit, het is maar mogelijk dat ook andere extensies verschijnen. Het crypto-virus maakt nu gebruik van HTML-bestanden (.hta) en laat Command and Control (C&C) servers hun payload-bestand leveren. Om te zien hoe je ransomware te verwijderen en hoe u kunt proberen om de gegevens te herstellen, lees het artikel aandachtig door.

Overzicht bedreiging

Naam	Locky Ransomware
Type	Ransomware, Cryptovirus
Korte omschrijving	De ransomware encrypteert uw bestanden en toont dan een ransom bericht met aanwijzingen voor betaling.
Symptomen	Versleutelde bestanden hebben .shit extensies.
Verspreidingswijze	Spam Emails, C&C Servers, HTML bestanden als .hta
Detectietool	Controleer of je systeem door Zepto Locky Ransomware is aangetast Downloaden Malware Remover
Gebruikerservaring	Treedt tot onze Forum toe om te discuteren: Locky Ransomware.

Locky Ransomware – Verspreiding

De laatste versie van Locky ransomware herstelt het gebruik van Command and Control servers als verspreidingsmethode. De servers geven hun laatst payload aan het crypto-virus. Het payload bestand wordt gezien in twee formaten – als HTML bestand of als JScript downloader. Zij hebben, respectievelijk, deze extensies – .hta and .wsf / .js. Deze bestanden kunnen binnen een .zip bestand geplaatst worden om moeilijker door een beveiligingsprogramma te worden opgespoord. U kunt de opsporing van een zulk bestand, niet verduisterd in een archief, op de VirusTotal website zien:

De meesten payload bestanden hebben de naam Receipt met gerandomiseerde nummers daarna, dus het lijkt als rechtmatige kwitantie of factuur. U kunt bekijken hoe de tekst van een zulk e-mail uitziet:

From: Free Haut Debit
Date: Mon, 24 Oct 2016
Subject: [Free] Notification de facture Freebox (95854808)

Bonjour,

Vous trouverez en piece jointe votre facture Free Haut Debit.
Le total de votre facture est de 75.09 Euros.
Nous vous remercions de votre confiance.
L’equipe Free

Attachment: Facture_Free_201610_6292582_95854808.zip

Van: Free Haut Debit
Datum: Mon, 24 Oct 2016
Ontwerp: [Free] Invoice notification (Kennisgeving factuur) Freebox (95854808)
Hallo,
U zult uw factuur als bijlage Gratis breedband vinden.
Uw totale factuur is 75.09 Euro
Wij danken u voor uw vertrouwen.
Team Gratis
Bijlage: Factuur_Gratis_201610_6292582_95854808.zip

Deze tekst is in het Frans omdat Frankrijk een van de meest getargeteerde landen is samen met UK, Duitsland, Saoedi Arabië, Polen en Servië volgens malware onderzoekers van MalwareHunterTeam. De e-mails lijken als rechtmatige mededelingen met facturen. Het bovenstaande email probeert de gebruiker te verrassen dat hij 75 euro aan een onderneming of serviceonderneming verschuldigd is. Gefocust op de “schuld” openen de meeste gebruikers de bijlage om te zien wat precies gebeurt.

Hier is een andere variante van de spam brief in verband met de recente champagne in het Engels:

From: “Dee Compton”
Subject: Complaint letter
Date: Mon, 24 Oct 2016
Dear [Your email name],
Client sent a complaint letter regarding the data file you provided.
The letter is attached.
Please review his concerns carefully and reply him as soon as possible.
Best regards,
Dee Compton
Attachment: saved_letter_C10C6A2.js

Locky ransomware kan verspreid worden ook door sociale media en file-sharing sites. Vermijdt verdachte of onbekende links, bijlagen of bestanden in het algemeen. Voordat u een bestand opent, scan het altijd door een security applicatie. Leest de ransomware prevention tips in onze forum.

Locky Ransomware – Analyse

Een nieuwe verrekking van de vicieuze Locky ransomware is gevonden worden. Het crypto-virus herstelt het gebruik van C2 (Command and Control) servers en neemt hun payload verspreidingsschema als boven omschreven. Op deze manier verspreidt zich het kwaadaardige script heel snel en laat het virus tot uw computer toe. U kunt sommige van de C2 servers navolgend zien:

185.102.13677:80/linuxsucks.php
91.200.14124:80/linuxsucks.php
109.234.35215:80/linuxsucks.php
bwcfinntwork:80/linuxsucks.php

Niettemin zijn er twee versies van Locky ransomware met bestand-extensies .shit worden bekeken maar zij gebruiken de C2 servers niet, zij wenden .DLL bestanden als toegangspunt aan en maken hen tot een offline way om de computer te infecteren, zonder een download locatie te bereiken.

List with some of the payload download sites

http://alkanshop.com/zrwcx8om
http://bwocc.org/dkttu
http://circolorisveglio.com/dw2hheb
http://cz1321.com/zg4c4m
http://disneyrentalvillas.com/k2ars5j2
http://downtownlaoffice.com/ixmh1
http://duvalitatli.com/umx3btc1
http://executivegolfmanagement.com/qtzsegm6
http://firephonesex.com/bxuobuam
http://fjbszl.com/m4q1pmr5
http://fraildata.net/09rz1jcj
http://fraildata.net/4s1szk77
http://fraildata.net/9b8cba
http://getitsold.info/cndrdsu9
http://girlsoffire.com/d2k0b967
http://gruffcrimp.com/352gr0
http://gruffcrimp.com/5inrze
http://gruffcrimp.com/8vzak
http://gruffcrimp.com/bki56h
http://gunnisonkoa.com/d5cw6
http://gzxyz.net/zznej
http://hetaitop.com/pgq8e
http://iwebmediasavvy.com/eu7mq36w
http://jejui.com/j1ldsf
http://julianhand.com/hollu
http://jzmkj.net/y7tf2
http://kak-vernut-devushku.gq/rwlr9
http://kirijones.net/2b8fnrqm
http://kirijones.net/4v7574mp
http://kirijones.net/66wey
http://kirijones.net/a2r3pme
http://nightpeople.co.il/o8le7
http://onlysalz.com/xjo100
http://pblossom.com/t78u8
http://potchnoun.com/06p2vxua
http://potchnoun.com/38j2xn
http://potchnoun.com/8x2nt
http://privateclubmag.com/wyztr73
http://prodesc.net/x7nlxq
http://relentlesspt.com/faisexor
http://riyuegu.net/o69ecb
http://royallife.co.uk/mx5nck
http://ryanrandom.com/hwv97p8
http://sexybliss.co.uk/en8ds7nt
http://taiyuwanli.com/cpkd9
http://theleadershipdoc.com/wm1bv
http://turservice.xaker007.net/k92b92
http://ukdistributionservices.com/x1397
http://vowedbutea.net/2f1okfif
http://vowedbutea.net/5491o
http://vowedbutea.net/8jtnj8nt
http://vowedbutea.net/apupuyh3
http://xn--b1aajgfxm2a9g.xn--p1ai/dxd3v
http://yourrealestateconnection.us/rlfh0

Na uitvoering van het payload worden uw bestanden versleuteld en een ransom mededeling zal verschijnen. Een kopie van de mededeling zal er in bestanden met namen _WHAT_is.bmp
worden opgeslagen. De mededeling met de instructies zal als uw desktop background verschijnen en zal dezelfde zijn als in de vorige varianten (inclusieve de grammaticale fouts):

De tekst zegt het volgende:

!!! IMPORTANT INFORMATION !!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, All which is on our secret server.
To receive your private key follow one of the links:
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: jhomitevd2abj3fk.onion/5DYGW6MQXIPQSSBB
4. Follow the instructions on the site.
!!! Your personal identification ID: 5DYGW6MQXIPQSSBB !!!

Het Locky virus verbindt uw computer met een network domain dat verborgen is door TOR service (maar niet daarop gehost). De service die uploadt ziet gelijk uit als zijn voorganger.

De Locky ransomware zal worden geslagen (of is nog niet geslagen) omdat de encryptie heel sterk is , en onderzoekers hebben nog geen gebreken in de code van het virus gevonden. Slachtoffers van vorige iteraties van de ransomware berichten dat zij niet konden hun bestanden volstandig herstellen nadat zij aan cybercriminals hebben betaald. Dus, het is niet nuttig om de dieven te contacteren en te betalen. Als wij tot nu hebben gezien, zullen misdadigers ook toekomstig meer ransomware campagnes doen.

Op het moment is er geen volstandige lijst met alle bestandstypes die versleuteld worden maar er werd bericht dat bestanden met de volgende extensies kunnen worden geëncrypteerd:

→.txt, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .java, .jpg, .jpeg, .bmp, .tiff, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .arc, .paq, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .nef, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .mdb, .sql, .sqlitedb, .sqlite3, .pst, .onetoc2, .asc, .lay6, .lay, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .dot, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott, .odt, .doc, .pem, .csr, .crt, .key

Versleutelde bestanden zullen de .shit extensie hebben op het einde van de naam. Het encryptie-algoritme die gebruikt wordt door Locky is RSA-2048 met AES 128-bit cijfers.
Dit nieuwste model van Locky ransomware kan de Shadow Volume Copies in het Windows operating systeem met het volgende bevel verwijderen:

→vssadmin.exe delete shadows /all /Quiet

Leest verder om te ervaren hoe u de ransomware kunt verwijderen en om te zien, met welke methodes u proberen kunt sommige van uw gegevens te decrypteren.

Locky Virus Verwijderen en .shit Bestanden Herstellen

Als uw computer geïnfecteerd wordt met het Locky ransomware-virus, zou u een beetje ervaring hebben in het verwijderen van malware. U moet zo snelmogelijk van deze ransomware afkomen voordat zij de mogelijkheid heeft om zich te verspreiden en meer computers te infecteren. U zou de ransomware verwijderen en de beneden omschreven step-by-step instructies volgen. Om werkwijzen te zien hoe u kunt proberen om uw gegevens te herstellen, volgt de stappen in punt 2. Bestanden herstellen die versleuteld zijn door Locky Ransomware.

Hoe Locky Ransomware van je computer verwijderen? (handmatig)

Aandacht! Belangrijke mededeling m.b.t. Locky Ransomware: de handmatige verwijdering van Locky Ransomware vereist het aanbrengen van wijzigingen in de systeembestanden en registers. Dit kan dus schade aan je PC veroorzaken. Beschik je niet over de vereiste kennis? Geen probleem, je kunt dit doen door een malware remover te gebruiken.

1. Computer in veilige modus opstarten om Locky Ransomware te isoleren en te verwijderen.

Computer in veilige modus opstarten.

1. Voor Windows 7, XP en Vista.

2. Voor Windows 8, 8.1 en 10.

Voor besturingssystemen Windows XP, Vista en 7:

1. Verwijder alle CDs en DVDs en start de computer opnieuw op via de “Start” menu
2. Kies één van de onderstaande opties:

– voor computers met één besturingssysteem: Druk meerdere malen op F8 tijdens het opstarten totdat het eerste scherm verschijnt. Als je het Windows-logo op het scherm ziet verschijnen, moet je de procedure nogmaals doorlopen.

– Voor computers met meerdere besturingssystemen: Gebruik de pijlen om het besturingssysteem dat je in veilige modus wil opstarten te selecteren. Druk meerdere malen op F8 tijdens het opstarten (zoals hierboven beschreven).

3. Als je het scherm “Advanced Boot Options” ziet verschijnen, gebruik de pijlen om “Safe Mode” te selecteren. Klik daarna op Enter om je keuze te bevestigen.

4. Log in als administrator.

Als je computer in veilige modus is, wordt de melding “Safe Mode” weergegeven in de hoeken van uw beeldscherm.

Stap 1: Open het Start Menu.

Stap 2: Houd “Shift” ingedrukt, klik op “Power” en daarna op “Restart”.
Stap 3: Nadat je computer opnieuw is opgestart, krijg je het onderstaande menu te zien. Klik dan op “Troubleshoot”.

Stap 4: Je zal het menu “Troubleshoot” zien. Daar moet je “Advanced options” kiezen.

Stap 5: In het menu “Advanced options” klik je op “Startup Settings”.

Stap 6: Klik op “Restart”.

Stap 7: Je zal een “Restart menu” zien verschijnen. Hier moet je “Safe Mode”. Dit doe je door het corresponderende cijfer van je toetsenboord te typen. Je computer zal opnieuw opstarten.

2. Reparatie registry entries aangemaakt door Locky Ransomware op uw pc.

Sommige kwaadaardige scripts kan de registry entries van uw computer aan te passen aan verschillende instellingen te wijzigen. Dit is de reden waarom handmatig opruimen van uw Windows-register Database sterk aanbevolen. Omdat de tutorial over hoe dit te doen is een beetje lenghty, raden we na onze leerzaam artikel over de vaststelling van het register.

Automatisch verwijderen Locky Ransomware door het downloaden van een geavanceerde anti-malware programma.

1. Locky Ransomware met Anti-Malware SpyHunter verwijderen

1. Locky Ransomware wet Anti-Malware SpyHunter verwijderen

1. Om Locky Ransomware te verwijderen moet je eerst SpyHunter installeren.

Scan je computer met SpyHunter om de Locky Ransomware te verwijderen.

Stap 1:Klik op “Download” en je wordt doorgeleid naar de downloadpagina van SpyHunter.

Het is sterk aangeraden dat je eerst je computer scant en pas daarna je de volledige versie van SpyHunter bestelt. Zo ben je zeker dat SpyHunter de malware gedetecteerd heeft

Stap 2: Volg de downloadinstructies op je browser
Stap 3: Wacht tot de installatie voltooid is en totdat de laatste updates geïnstalleerd zijn.

Stap1: Nadat de update voltooid is, klik op “Scan Computer Now”.

Stap 2: Eens de scan is beëindigd zal je alle malwares in de bedreiging box zien. Locky Ransomware moet ertussen zijn. Klik op “Fix Threats” om ze automatisch te verwijderen.

Stap 3: Nadat je alle malware hebt verwijderd is het aangeraden om je computer opnieuw op te starten.

2. Locky Ransomware gecodeerde bestanden herstellen

Locky Ransomware gecodeerde bestanden herstellen.

De veiligheidsingenieurs raden gebruikers aan om geen losgeld te betalen en in de plaats daarvan via andere methoden hun bestanden te herstellen. Hieronder vind je enkele voorbeelden:

Eerst moet je controleren of er schaduwkopieën in Windows zijn. Dit kan je met deze software doen:

Shadow Explorer

Om uw gegevens te herstellen, uw eerste inzet is om opnieuw te controleren voor schaduwkopieën in Windows met behulp van deze software:

Technisch gezien kan je ook een netwerk sniffer (een computerprogramma dat verschillende soorten vertrouwelijke informatie zoals belangrijke wachtwoorden voor bestanden of netwerken, verzamelt).
Via een netwerk sniffer kan je aan de encryptiesleutel van de versleutelde bestanden komen. Een netwerk sniffer controleert de informatiestroom in een netwerk zoals het internetverkeer en de internet “packages”.

Optioneel: Gebruiken van alternatieve anti-malware software

STOPZilla Anti Malware

1. Download STOPZilla hier.
Stap 1: Download STOPZilla by clicking here.
Stap 2: Klik daarna op “Save file”. Als het bestand niet gedownload, is klik dan nogmaals op de downloadlink.