Если вы откроете какой-либо отдельный документ и увидите, что этот документ имеет расширение [8_random_characters]-[4_random_characters]-[4_random_characters]-[8_random_characters]-[12_random_characters].osiris . Вполне возможно, что ваш компьютер подвергся атаке программы-вымогателя Locky.
Locky — это программа-вымогатель для шифрования файлов. Она шифрует личные документы, обнаруженные на компьютерах атакованных ею «жертв», с использованием ключа RSA-2048 (алгоритм шифрования AES CBC 256).bit, а затем отображает сообщение о необходимости расшифровки. за данные вам нужно заплатить около 2,5 биткойнов, или примерно 1880 долларов США.
Инструкции «упакованы» на компьютерах жертв в 3 файла: OSIRIS.html, OSIRIS_[4_digit_number].html и OSIRIS.bmp.
1. Как программа-вымогатель Locky OSIRIS атакует ваш компьютер?
Программа-вымогатель Locky «распространяется» через спам-сообщения, содержащие вложения или ссылки на вредоносные веб-сайты. Киберпреступники — это спам-сообщения с поддельной информацией в заголовке, которые заставляют пользователей поверить, что это электронное письмо от компаний DHL или FedEx.
Или при установке определенного программного обеспечения пользователи незаметно устанавливают дополнительное поддельное программное обеспечение без их ведома.
2. Что такое OSIRIS – программа-вымогатель Locky?
Программа-вымогатель Locky нацелена на все версии Windows, включая Windows 10, Windows Vista, Windows 8 и Windows 7. Этот тип программы-вымогателя использует особый способ шифрования пользовательских файлов: методы шифрования AES-265 и RSA, гарантирующие, что жертвы не будут иметь выбор.
Когда на вашем компьютере установлена программа-вымогатель Locky, она создает случайные имена исполняемых файлов в папке «%AppData» или «%LocalAppData» . Этот исполняемый файл запускается и начинает сканирование всех дисков вашего компьютера для шифрования файлов данных.
Ransomeware Lock будет искать файлы с определенными расширениями для шифрования. Файлы, которые он шифрует, включают документы и важные файлы, такие как .doc, .docx, .xls, .pdf и некоторые другие. При обнаружении файлов к именам файлов добавляются новые расширения (ezz, .exx, .7z.encrypted).
Ниже приведен список расширений файлов, на которые нацелена программа-вымогатель:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, кошелек, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
После того, как файлы зашифрованы с помощью расширения .osiris, программа-вымогатель Locky может создать файл файлов OSIRIS.html , OSIRIS_[4_digit_number].html или OSIRIS.bmp для каждой папки с зашифрованными файлами и на компьютерах Windows.
Эти файлы расположены в каждой папке, содержащей зашифрованные файлы, а также в папке «Автозагрузка», в которой содержатся программы, которые автоматически отображаются при входе пользователей в систему. Эти файлы будут содержать информацию о том, как получить доступ к платежным сайтам и получить ваши файлы обратно.
В большинстве случаев программа-вымогатель Locky захватывает расширение .EXE и при запуске исполняемого файла пытается удалить теневые копии томов на компьютере.
После завершения шифрования файлов данных все теневые копии томов будут удалены на вашем компьютере. Он не позволяет пользователям использовать теневые копии томов для восстановления зашифрованных файлов.
3. Ваш компьютер атакован программой-вымогателем Locky - OSIRIS?
Когда программа-вымогатель Lock атакует ваш компьютер, она сканирует все диски в системе в поисках целевых файлов, шифрует эти файлы и добавляет к файлам расширение .osiris.
После того как файлы зашифрованы, вы больше не сможете открывать их с помощью тех же программ, в которых вы их обычно открываете. Кроме того, когда программа-вымогатель Locky завершит шифрование файлов жертвы, она также поменяет обои на компьютере жертвы.
Он также отобразит записку о выкупе в формате HTML в браузере по умолчанию. Эти примечания включают инструкции о том, как подключиться к Службе расшифровки, где вы можете узнать больше о том, что случилось с вашими файлами и как оплатить.
Программа-вымогатель Locky отобразит следующее сообщение:
ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Более подробную информацию о RSA и AES можно найти здесь:
hxxps://en.wikipedia.org/wiki/RSA_(криптосистема)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которая находится на нашем секретном сервере.
Чтобы получить приватный ключ, перейдите по одной из ссылок:
[отредактировано]
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите браузер Tor: hxxps://www.torproject.org/download/download-easy.html.
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: [отредактировано]
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный номер: [отредактировано]
4. Можно ли расшифровать файлы, зашифрованные программой-вымогателем Locky?
На данный момент восстановить файлы, зашифрованные с расширением .osiris, невозможно.
Наиболее примечательной особенностью программы-вымогателя Locky является способ шифрования пользовательских файлов. В частности, он использует методы шифрования AES-265 и RSA — чтобы гарантировать, что у «атакуемого» пользователя не останется другого выбора, кроме как приобрести закрытый ключ.
Открытый ключ RSA можно расшифровать с помощью соответствующего закрытого ключа. Причина в том, что ключ AES скрыт при использовании шифрования RSA, а закрытый ключ RSA недоступен, расшифровка файлов невозможна.
А поскольку для разблокировки зашифрованных файлов, которые доступны через киберпреступники, требуется закрытый ключ, жертвы могут быть соблазнены покупкой и уплатой непомерных комиссий.
4.1. Используйте программное обеспечение для восстановления файлов, зашифрованных программой-вымогателем Locky.
Вариант 1. Используйте ShadowExplorer для восстановления файлов, зашифрованных программой-вымогателем Locky.
1. Загрузите ShadowExplorer на свой компьютер и установите.
Загрузите ShadowExplorer на свое устройство и установите его здесь.
2. После загрузки и установки ShadowExplorer вы можете обратиться к инструкциям по восстановлению файлов с помощью ShadowExplorer в видео ниже:
Вариант 2. Используйте программное обеспечение для восстановления файлов, чтобы восстановить файлы, зашифрованные расширением .osiris.
Когда расширение .osiris шифрует какой-либо файл, оно сначала копирует этот файл, шифрует копируемый файл и удаляет исходный файл. Поэтому, чтобы исправить файлы, зашифрованные расширением .osiris, вы можете использовать программное обеспечение для восстановления файлов, такое как:
Загрузите Recuva на свое устройство и установите здесь .
Инструкции по восстановлению зашифрованных файлов с помощью Recuva смотрите в видео ниже:
Загрузите EaseUS Data Recovery Wizard бесплатно на свой компьютер и установите здесь.
Загрузите R-Studio на свое устройство и установите его здесь.
5. Как удалить расширение .osiris?
Шаг 1. Используйте Malwarebytes Anti-Malware Free, чтобы удалить вирус «Ваши личные файлы зашифрованы».
Malwarebytes Anti-Malware Free — это бесплатное программное обеспечение, которое помогает обнаруживать и удалять следы вредоносного программного обеспечения (вредоносных программ), включая червей, троянов, руткитов, мошенников, дозвонщиков, шпионских программ и некоторых других программ.
Важно, чтобы Malwarebytes Anti-Malware работал бок о бок с другим антивирусным программным обеспечением без конфликтов.
1. Загрузите Malwarebytes Anti-Malware Free на свой компьютер и установите.
Загрузите Malwarebytes Anti-Malware Free на свое устройство и установите его здесь.
2. После завершения загрузки закройте все программы, затем дважды щелкните значок mbam-setup , чтобы начать процесс установки Malwarebytes Anti-Malware.
В это время на экране появится диалоговое окно «Контроль учетных записей» с вопросом, хотите ли вы запустить файл или нет. Нажмите Да , чтобы продолжить.
3. При запуске процесса установки на экране появится окно мастера установки Malwarebytes Anti-Malware. Следуйте инструкциям на экране, чтобы установить Malwarebytes Anti-Malware.
Чтобы установить Malwarebytes Anti-Malware, нажимайте кнопку «Далее» , пока не появится последнее окно, затем нажмите «Готово».
4. После завершения установки Malwarebytes Anti-Malware автоматически откроется. Чтобы запустить процесс сканирования системы, нажмите кнопку «Сканировать сейчас».
5. Malwarebytes Anti-Malware начнет сканирование вашего компьютера, чтобы найти и удалить вредоносное ПО .osiris.
6. После завершения процесса на экране появится окно с изображением вредоносного ПО (вредоносного ПО), обнаруженного Malwarebytes Anti-Malware. Чтобы удалить вредоносное ПО и программы, обнаруженные Malwarebytes Anti-Malware, нажмите кнопку «Удалить выбранное» .
7. Malwarebytes Anti-Malware помещает в карантин все вредоносные файлы и ключи реестра, которые обнаруживает программа. В процессе удаления этих файлов Malwarebytes Anti-Malware может попросить вас перезагрузить компьютер, чтобы завершить процесс. Ваша задача — перезагрузить компьютер для завершения процесса.
Шаг 2. Используйте HitmanPro для удаления программы-вымогателя Locky
HitmanPro предназначен для « спасения » вашего компьютера от вредоносных программ, таких как вирусы, трояны, руткиты и т. д.), которые незаконно проникают в систему. HitmanPro предназначен для работы параллельно с другим программным обеспечением безопасности, не вызывая конфликтов. Программа просканирует ваш компьютер в течение 5 минут и не будет замедлять работу вашего компьютера.
1. Загрузите HtmanPro на свой компьютер и установите.
Загрузите HtmanPro на свое устройство и установите его здесь.
2. Дважды щелкните файл с именем « HitmanPro.exe » (при использовании 32-разрядной версии Windows) или « HitmanPro_x64.exe » (при использовании 64-разрядной версии Windows).
Нажмите «Далее» , чтобы установить HitmanPro на свой компьютер.
3. HitmanPro начнет сканирование вашего компьютера для поиска и удаления вредоносных файлов.
4. После завершения процесса на экране появится окно со списком всех вредоносных программ, которые нашел HitmanPro. Нажмите «Далее» , чтобы удалить вредоносное ПО в вашей системе.
5. Нажмите кнопку «Активировать бесплатную лицензию» , чтобы бесплатно опробовать программу в течение 30 дней и удалить все вредоносные файлы с вашего компьютера.
6. Как защитить свой компьютер от программы-вымогателя Locky?
Чтобы защитить свой компьютер от программы-вымогателя Locky, лучше всего установить на компьютер антивирусные программы и регулярно выполнять резервное копирование личных данных. Кроме того, вы можете использовать некоторые программы, такие как HitmanPro.Alert , чтобы предотвратить шифрование файлов в системе вредоносными программами и программным обеспечением (вредоносным ПО).
Инструкции по загрузке и установке HitmanPro.Alert приведены в видео ниже:
Ознакомьтесь с некоторыми из наиболее эффективных антивирусных программ для компьютеров под управлением Windows здесь .
См. еще несколько статей ниже:
Удачи!
Смотришь на рейсы, и цены на билеты кажутся вполне приемлемыми. Но каждый раз, когда вы возвращаетесь, цена билета немного возрастает. Такое ощущение, что авиакомпании следят за вашим интересом и повышают цены на билеты.
Чем больше работы вы выполняете на своем компьютере, тем больше нагревается ваш процессор (процессор), особенно во время тяжелых игр или редактирования видео. Ваш процессор с большей вероятностью перегреется, если система вентиляции плоха или термопаста на чипе стерлась. Однако существует процесс, который может помочь вам снизить температуру процессора, называемый «андервольтинг».
Microsoft позволяет вам бесплатно загружать изображения Bing и использовать их в своей системе. Вот как установить Bing Daily Images в качестве обоев, экрана блокировки и экрана входа в систему в Windows 10.
Вам интересно, почему в проводнике на диске есть значок замка? В следующей статье будет объяснено, что это за значок и как удалить значок замка с диска в Windows 10.
После установки терминала Windows в контекстное меню папок в проводнике добавляется пункт «Открыть в терминале Windows». Если вас не устраивает эта опция, вот как удалить ее из контекстного меню.
Эта уязвимость позволяет злоумышленникам получить контроль над законными приложениями на вашем Android-устройстве и использовать их для внедрения вредоносных приложений.
Начиная с обновления Windows 10 за май 2019 года, на экране входа в систему используется размытый дизайн Fluent Design. Если вам нужны четкие обои экрана блокировки, вот как отключить размытие фона.
Лучший способ оставаться в безопасности при использовании общедоступного Wi-Fi — избегать действий, которые могут дать хакерам то, что они ищут.
Темный режим — это интерфейс с темным фоном в Windows 10, помогающий компьютеру экономить заряд батареи и уменьшать воздействие на глаза пользователя.
Оплата счетов онлайн — это удобный способ соблюдать свои обязательства перед поставщиками услуг. Однако этот вариант сопряжен с некоторыми рисками безопасности платежей.
