Locky come Cryptolocker, il virus cripta i file con .locky .zzzzz .aesir .zepto .odin e .shit
Il virus Locky è una variante di Cryptolocker che cripta i file e li rinomina con estensione .locky (oppure .zzzzz .zepto .odin .shit .thor e .aesir). Il recupero dei file criptati da questo ransomware non è per nulla certo, ma si possono adottare delle contromisure per evitare di essere infettati e trovarsi con le estensioni dei file cambiate o trasformate.
Il riscatto è come sempre richiesto in bitcoin, attraverso l’accesso ad una pagina web su rete Tor chiamata Locky Decrypter Page. La pagina per decriptare i file prometterà di ricevere un software che effettuerà il recupero dei file, ma come sempre ti ricordo che pagare il riscatto è pratica da evitare.
Anche questa variante del virus è principalmente diffusa via email e P.E.C (Posta Elettronica Certificata), falsificata in modo da sembrare una fattura o un contatto da parte di un conoscente e scritta in italiano. Questo messaggio di posta elettronica contiene un file .zip con all’interno il virus.
Il virus cripta i file e li rinomina in .locky .zepto .odin e .shit
Se i file sono criptati e rinominati con estensione .locky (es. prova.jpg -> prova.jpg.locky )e lo sfondo del computer è stato modificato, è probabile che i file abbiano questo formato, con il nome composto da una sequenza in codice esadecimale:
F68599D1F24A922A1B7FC29E15A9B9AD.locky
Le alternative possono essere
prova.jpg ->CB914259-800B-EF3E-ED92-650982E782EA.zepto
prova.jpg -> 43107340-06B4-575D-0F41-006D642DB2D8.odin
prova.jpg -> 3EJTXAJA-GH8J-D68B-7173-1B60ED247FE5.shit
prova.jpg -> 798CAEBE-7539-BF2F-2FFB-3D5BA88697D1.thor
prova.jpg -> F72CEE53-78C7-103A-7BFB-704ADE2DBCC8.aesir
prova.jpg -> YHBTI1YJ-BKTS-TTAP-0A53-11B31444D8B1.zzzzz
Lo sfondo del desktop verrà impostato con l’immagine _Locky_recover_instructions.bmp (quella in alto), che contiene le informazioni per pagare il riscatto.
Il virus cripta tutti i file all'interno delle condivisioni di rete
Uno degli aspetti più dannosi di questo virus è dato dal fatto che cripta i file anche all’interno delle condivisioni di rete, comprese quelle non collegate direttamente dall’utente. In ambito aziendale questa variante del virus è molto rischiosa, in quanto le varie cartelle del server principale possono essere tutte corrotte e il recupero dei file non è garantito.
Come recuperare i file .locky .zepto .odin .shit .thor e .aesir
Recuperare i file criptati con estensione .locky è possibile, ma soltanto in caso di salvataggio dei file. Non esiste ad oggi un software che trova la chiave di criptazione della prima versione di questo virus, ma è comunque possibile tentare un ripristino dei file criptati utilizzando le classiche tecniche di recupero. Alcune varianti di questa versione del virus cancellano le Shadow Copy, ma ti consiglio di provare comunque il recupero con programmi professionali come spiegato in questo articolo ricordandoti in futuro di strutturare la tua rete informatica soprattutto preoccupandoti dei processi di backup dei file.
Come decriptare i file .locky
Una nuova versione del virus trasforma i file in .locky, ma questa volta è stato reso pubblico un metodo di decriptazione dei file. Questa variante, chiamata AutoLocky, presenta una falla nel codice ed è possibile decriptare i file con questo software: Autolocky Decrypt.
Aggiornamento 27 aprile 2016
Recentemente è stata rilevata una nuova ondata di virus Locky, ma è possibile tentare un ripristino dei file con Shadow Explorer.
Aggiornamento 7 luglio 2016
Un’altra variante del virus Locky rinomina i file come .zepto.
Aggiornamento 3 ottobre 2016
Un’altra variante del virus Locky rinomina i file come .odin.
Aggiornamento 26 ottobre 2016
Un’altra variante del virus Locky rinomina i file come .shit.
Aggiornamento 31 ottobre 2016
Un’altra variante del virus Locky rinomina i file come .thor.
Aggiornamento 23 novembre 2016
Un’altra variante del virus Locky rinomina i file come .aesir.
Aggiornamento 24 novembre 2016
Un’altra variante del virus Locky rinomina i file come .zzzzz.
Comments (4)
[…] mancanza di estensioni riconoscibili come in altri casi, rende difficile la ricerca di nuove informazioni da parte della vittima. Ad oggi l’unico […]
Salve.
A marzo di quest’anno siamo stati colpiti in ufficio da questo virus su ben due postazioni nello stesso giorno. L’antivirus Eset Endpoint è stato in grado di bloccarlo ed eliminarlo. Lo consiglierei a tutti.
Saluti
Salve Alfredo,
questo dimostra che prevenire questo tipo di minacce con un buon antivirus e un collaudato sistema di salvataggio dei file è la soluzione preventiva perfetta.
Grazie della testimonianza!
[…] Locky come Cryptolocker, il virus cripta e rinomina file in rete con .locky .zepto .odin e .shit […]