Locky come Cryptolocker, il virus cripta i file con .locky .zzzzz .aesir .zepto .odin e .shit

virus_locky

Locky come Cryptolocker, il virus cripta i file con .locky .zzzzz .aesir .zepto .odin e .shit

Il virus Locky è una variante di Cryptolocker che cripta i file e li rinomina con estensione .locky (oppure .zzzzz .zepto .odin .shit .thor e .aesir). Il recupero dei file criptati da questo ransomware non è per nulla certo, ma si possono adottare delle contromisure per evitare di essere infettati e trovarsi con le estensioni dei file cambiate o trasformate.

Il riscatto è come sempre richiesto in bitcoin, attraverso l’accesso ad una pagina web su rete Tor chiamata Locky Decrypter Page. La pagina per decriptare i file prometterà di ricevere un software che effettuerà il recupero dei file, ma come sempre ti ricordo che pagare il riscatto è pratica da evitare.

Anche questa variante del virus è principalmente diffusa via email e P.E.C (Posta Elettronica Certificata), falsificata in modo da sembrare una fattura o un contatto da parte di un conoscente e scritta in italiano. Questo messaggio di posta elettronica contiene un file .zip con all’interno il virus.

Il virus cripta i file e li rinomina in .locky .zepto .odin e .shit

Se i file sono criptati e rinominati con estensione .locky (es. prova.jpg -> prova.jpg.locky )e lo sfondo del computer è stato modificato, è probabile che i file abbiano questo formato, con il nome composto da una sequenza in codice esadecimale:

F68599D1F24A922A1B7FC29E15A9B9AD.locky

Le alternative possono essere

prova.jpg ->CB914259-800B-EF3E-ED92-650982E782EA.zepto

prova.jpg -> 43107340-06B4-575D-0F41-006D642DB2D8.odin

prova.jpg -> 3EJTXAJA-GH8J-D68B-7173-1B60ED247FE5.shit

prova.jpg -> 798CAEBE-7539-BF2F-2FFB-3D5BA88697D1.thor

prova.jpg -> F72CEE53-78C7-103A-7BFB-704ADE2DBCC8.aesir

prova.jpg -> YHBTI1YJ-BKTS-TTAP-0A53-11B31444D8B1.zzzzz

Lo sfondo del desktop verrà impostato con l’immagine _Locky_recover_instructions.bmp (quella in alto), che contiene le informazioni per pagare il riscatto.

Il virus cripta tutti i file all'interno delle condivisioni di rete

Uno degli aspetti più dannosi di questo virus è dato dal fatto che cripta i file anche all’interno delle condivisioni di rete, comprese quelle non collegate direttamente dall’utente. In ambito aziendale questa variante del virus è molto rischiosa, in quanto le varie cartelle del server principale possono essere tutte corrotte e il recupero dei file non è garantito.

Come recuperare i file .locky .zepto .odin .shit .thor e .aesir

Recuperare i file criptati con estensione .locky è possibile, ma soltanto in caso di salvataggio dei file. Non esiste ad oggi un software che trova la chiave di criptazione della prima versione di questo virus, ma è comunque possibile tentare un ripristino dei file criptati utilizzando le classiche tecniche di recupero. Alcune varianti di questa versione del virus cancellano le Shadow Copy, ma ti consiglio di provare comunque il recupero con programmi professionali come spiegato in questo articolo ricordandoti in futuro di strutturare la tua rete informatica soprattutto preoccupandoti dei processi di backup dei file.

Come decriptare i file .locky

Una nuova versione del virus trasforma i file in .locky, ma questa volta è stato reso pubblico un metodo di decriptazione dei file. Questa variante, chiamata AutoLocky, presenta una falla nel codice ed è possibile decriptare i file con questo software: Autolocky Decrypt.

Aggiornamento 27 aprile 2016

Recentemente è stata rilevata una nuova ondata di virus Locky, ma è possibile tentare un ripristino dei file con Shadow Explorer.

Aggiornamento 7 luglio 2016

Un’altra variante del virus Locky rinomina i file come .zepto.

Aggiornamento 3 ottobre 2016

Un’altra variante del virus Locky rinomina i file come .odin.

Aggiornamento 26 ottobre 2016

Un’altra variante del virus Locky rinomina i file come .shit.

Aggiornamento 31 ottobre 2016

Un’altra variante del virus Locky rinomina i file come .thor.

Aggiornamento 23 novembre 2016

Un’altra variante del virus Locky rinomina i file come .aesir.

Aggiornamento 24 novembre 2016

Un’altra variante del virus Locky rinomina i file come .zzzzz.

Vuoi caricare un file criptato?

Il tuo indirizzo email verrà inserito nella lista per la newsletter con le ultime novità riguardanti questo argomento.

Carica qui un file criptato, proverò a ripristinarlo con diverse tecniche professionali.

Carica un file da decriptare e iscriviti alla newsletter






Iscriviti alla newsletter

Questo virus è in continuo aggiornamento e non è escluso che in futuro possano essere rese pubbliche le chiavi di decriptazione dei file.

Tuttavia ti consiglio di moderare le speranze e cominciare fin da subito a proteggere il tuo patrimonio informatico per evitare situazioni spiacevoli in futuro.

Se vuoi essere avvisato in caso di sviluppi, iscriviti alla newsletter.

Ho risolto il tuo problema?

Spero di esserti stato d'aiuto!

La stesura di questi articoli impiega tempo ed ore di ricerca. Se hai trovato questo articolo utile e vuoi cliccare su Mi piace mi farai un gesto molto gradito.

Condividi questo post

Commenti (4)

  • File criptati? TeslaCrypt 4.0, RECOVER.html e riscatto Rispondi

    […] mancanza di estensioni riconoscibili come in altri casi, rende difficile la ricerca di nuove informazioni da parte della vittima. Ad oggi l’unico […]

    il 18 marzo 2016 alle 10:51
  • Alfredo Rispondi

    Salve.
    A marzo di quest’anno siamo stati colpiti in ufficio da questo virus su ben due postazioni nello stesso giorno. L’antivirus Eset Endpoint è stato in grado di bloccarlo ed eliminarlo. Lo consiglierei a tutti.
    Saluti

    il 3 agosto 2016 alle 9:18
    • Enrico Marcolini Rispondi

      Salve Alfredo,
      questo dimostra che prevenire questo tipo di minacce con un buon antivirus e un collaudato sistema di salvataggio dei file è la soluzione preventiva perfetta.
      Grazie della testimonianza!

      il 14 agosto 2016 alle 19:40
  • File criptati: come le estensioni vengono cambiate dal virus ransomware Rispondi

    […] Locky come Cryptolocker, il virus cripta e rinomina file in rete con .locky .zepto .odin e .shit […]

    il 2 novembre 2016 alle 10:22

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Leggi altro:
fax to mail
Fax via internet: invio e ricezione

Il fax è uno strumento di invio di testi e immagini attraverso la linea telefonica; è stato inventato alla fine...

cryptolocker
Cryptolocker: il virus che cripta i file e chiede il riscatto

Nella maggior parte dei casi  il virus arriva via email e ha come mittente una di queste varianti:

Band su Facebook
Promuovere la band su Facebook e su internet

mr-robot-hacker
Mr. Robot: ecco le tecniche hacker per TOR, password e DDOS

Telelavoro
Telelavoro: lavorare da casa o fuori dall’ufficio

Telelavoro non è solamente considerato “lavorare da casa”, ma soprattutto lavoro indipendentemente da luoghi e orari. Il vantaggio di non...

Chiudi