Locky come Cryptolocker, il virus cripta i file con .locky .zzzzz .aesir .zepto .odin e .shit

virus_locky

Locky come Cryptolocker, il virus cripta i file con .locky .zzzzz .aesir .zepto .odin e .shit

Il virus Locky è una variante di Cryptolocker che cripta i file e li rinomina con estensione .locky (oppure .zzzzz .zepto .odin .shit .thor e .aesir). Il recupero dei file criptati da questo ransomware non è per nulla certo, ma si possono adottare delle contromisure per evitare di essere infettati e trovarsi con le estensioni dei file cambiate o trasformate.

Il riscatto è come sempre richiesto in bitcoin, attraverso l’accesso ad una pagina web su rete Tor chiamata Locky Decrypter Page. La pagina per decriptare i file prometterà di ricevere un software che effettuerà il recupero dei file, ma come sempre ti ricordo che pagare il riscatto è pratica da evitare.

Anche questa variante del virus è principalmente diffusa via email e P.E.C (Posta Elettronica Certificata), falsificata in modo da sembrare una fattura o un contatto da parte di un conoscente e scritta in italiano. Questo messaggio di posta elettronica contiene un file .zip con all’interno il virus.

Il virus cripta i file e li rinomina in .locky .zepto .odin e .shit

Se i file sono criptati e rinominati con estensione .locky (es. prova.jpg -> prova.jpg.locky )e lo sfondo del computer è stato modificato, è probabile che i file abbiano questo formato, con il nome composto da una sequenza in codice esadecimale:

F68599D1F24A922A1B7FC29E15A9B9AD.locky

Le alternative possono essere

prova.jpg ->CB914259-800B-EF3E-ED92-650982E782EA.zepto

prova.jpg -> 43107340-06B4-575D-0F41-006D642DB2D8.odin

prova.jpg -> 3EJTXAJA-GH8J-D68B-7173-1B60ED247FE5.shit

prova.jpg -> 798CAEBE-7539-BF2F-2FFB-3D5BA88697D1.thor

prova.jpg -> F72CEE53-78C7-103A-7BFB-704ADE2DBCC8.aesir

prova.jpg -> YHBTI1YJ-BKTS-TTAP-0A53-11B31444D8B1.zzzzz

Lo sfondo del desktop verrà impostato con l’immagine _Locky_recover_instructions.bmp (quella in alto), che contiene le informazioni per pagare il riscatto.

Il virus cripta tutti i file all'interno delle condivisioni di rete

Uno degli aspetti più dannosi di questo virus è dato dal fatto che cripta i file anche all’interno delle condivisioni di rete, comprese quelle non collegate direttamente dall’utente. In ambito aziendale questa variante del virus è molto rischiosa, in quanto le varie cartelle del server principale possono essere tutte corrotte e il recupero dei file non è garantito.

Come recuperare i file .locky .zepto .odin .shit .thor e .aesir

Recuperare i file criptati con estensione .locky è possibile, ma soltanto in caso di salvataggio dei file. Non esiste ad oggi un software che trova la chiave di criptazione della prima versione di questo virus, ma è comunque possibile tentare un ripristino dei file criptati utilizzando le classiche tecniche di recupero. Alcune varianti di questa versione del virus cancellano le Shadow Copy, ma ti consiglio di provare comunque il recupero con programmi professionali come spiegato in questo articolo ricordandoti in futuro di strutturare la tua rete informatica soprattutto preoccupandoti dei processi di backup dei file.

Come decriptare i file .locky

Una nuova versione del virus trasforma i file in .locky, ma questa volta è stato reso pubblico un metodo di decriptazione dei file. Questa variante, chiamata AutoLocky, presenta una falla nel codice ed è possibile decriptare i file con questo software: Autolocky Decrypt.

Aggiornamento 27 aprile 2016

Recentemente è stata rilevata una nuova ondata di virus Locky, ma è possibile tentare un ripristino dei file con Shadow Explorer.

Aggiornamento 7 luglio 2016

Un’altra variante del virus Locky rinomina i file come .zepto.

Aggiornamento 3 ottobre 2016

Un’altra variante del virus Locky rinomina i file come .odin.

Aggiornamento 26 ottobre 2016

Un’altra variante del virus Locky rinomina i file come .shit.

Aggiornamento 31 ottobre 2016

Un’altra variante del virus Locky rinomina i file come .thor.

Aggiornamento 23 novembre 2016

Un’altra variante del virus Locky rinomina i file come .aesir.

Aggiornamento 24 novembre 2016

Un’altra variante del virus Locky rinomina i file come .zzzzz.

Vuoi caricare un file criptato?

Il tuo indirizzo email verrà inserito nella lista per la newsletter con le ultime novità riguardanti questo argomento.

Carica qui un file criptato, proverò a ripristinarlo con diverse tecniche professionali.

Iscriviti alla newsletter

Questo virus è in continuo aggiornamento e non è escluso che in futuro possano essere rese pubbliche le chiavi di decriptazione dei file.

Tuttavia ti consiglio di moderare le speranze e cominciare fin da subito a proteggere il tuo patrimonio informatico per evitare situazioni spiacevoli in futuro.

Se vuoi essere avvisato in caso di sviluppi, iscriviti alla newsletter.

[wysija_form id=”1″]

Condividi questo post

Comments (4)

  • File criptati? TeslaCrypt 4.0, RECOVER.html e riscatto rispondere

    […] mancanza di estensioni riconoscibili come in altri casi, rende difficile la ricerca di nuove informazioni da parte della vittima. Ad oggi l’unico […]

    a 10:51
  • Alfredo rispondere

    Salve.
    A marzo di quest’anno siamo stati colpiti in ufficio da questo virus su ben due postazioni nello stesso giorno. L’antivirus Eset Endpoint è stato in grado di bloccarlo ed eliminarlo. Lo consiglierei a tutti.
    Saluti

    a 9:18
    • Enrico Marcolini rispondere

      Salve Alfredo,
      questo dimostra che prevenire questo tipo di minacce con un buon antivirus e un collaudato sistema di salvataggio dei file è la soluzione preventiva perfetta.
      Grazie della testimonianza!

      a 19:40
  • File criptati: come le estensioni vengono cambiate dal virus ransomware rispondere

    […] Locky come Cryptolocker, il virus cripta e rinomina file in rete con .locky .zepto .odin e .shit […]

    a 10:22

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.