Locky ransomware ricevo un altro lifting facciale con il rilascio di nuova variante verrà questa volta che ha allega ai file criptati l’estensione .lukitus.
Il comportamento di Locky, una delle tipologie più diffuse di ransomware fino ad oggi, mostra quanto sia dinamico l’ambiente dell’estorsione on-line. L’ultimissima reincarnazione di Locky viene chiamata Lukitus, in base all’estensione che viene concatenata su tutti i file soggetti al sistema di criptazione malevolo. A proposito, questa è una parola finlandese che significa “bloccare”, quindi descrive il vero intento di questo virus in modo piuttosto preciso.
Come in precedenza, il file virus.lukitus miete le sue vittime tramite la malspam. Le email con i file tossici a bordo sono generate in grosse quantità da un botnet chiamato Necurs. Gli utenti che ricevono questi messaggi con un rischio di autorizzare l’infezione ad essere eseguita sui propri computer poiché cadono vittima di una finta fattura o di un avviso di mancata consegna. Il documento Microsoft Word allegato sembra un’esca, ma una volta aperto rivela essere vuoto o incomprensibile all’interno. L’intero trucco si basa sulle macro di Office che dovrebbero a quanto pare essere abilitate perché l’utente possa leggere i contenuti del documento. Non appena la macro inclusa VBA viene aperta, le cose sfuggono di mano – viene scaricato Lukitus ransomware e depositato nel sistema ospite in modo furtivo.
Quando eseguito sul computer, il ransomware per prima cosa esegue un tipo di riconoscimento. Analizza le partizioni degli hard disk locali, le condivisioni di rete e i drive removibili per cercare dozzine di file di tipi diversi. Una volta trovato tutto ciò che potrebbe essere di potenziale valore per la vittima, il ransomware Lukitus / Locky ransomware applica una solidissima miscela di sistemi di criptazione RSA-2048 e AES-128 per bloccare i dati. La criptazione non è l’unico effetto applicato alle voci prese di mira – l’infezione danneggia anche i filenames, sostituendo ognuno con 36 caratteri esadecimale e l’estensione .lukitus.
Per fornire alla vittima una guida sulla decriptazione dati, il virus Lukitus lascia delle note di salvataggio chiamate Lukitus-[4 chars].htm e Lukitus-[4 chars].bmp sul desktop e fa apparire l’edizione HTM su tutte le cartelle criptate. La nota di riscatto BMP è configurata per impostarsi automaticamente come sfondo del desktop. Questi file istruiscono l’utente su come scaricare e installare Tor Browser e usarlo per visitare una pagina il cui indirizzo è indicato in tutte le guide per il ripristino. In questo modo, l’utente finisce sulla pagina Locky Decryptor, ossia un portale di riscatto che afferma inoltre di poter fornire la chiave di decriptazione per la cifra di 0.5 Bitcoin che deve essere inviata ai perpetranti.
Fortunatamente, gli analisti sicurezza non sono ancora stati in grado di creare un decryptor adeguato gratuito per Locky in generale e per la variante Lukitus in particolare. Anche se la nota di riscatto potrebbe sembrare l’ultimo unica opzione date le circostanze, ci sono diverse altre tecniche potrebbero aiutare a ripristinare i file con l’estensione .lukitus senza dover pagare.
Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L'uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.
È stato menzionato che Lukitus ransomware applica una forte criptazione per rendere inaccessibili i file, quindi non c'è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d'occhio, eccetto naturalmente sottomettersi all'impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti - scoprite quale sono.
È piuttosto interessante sapere che l'infezione Lukitus elimina i file originali in forma non criptato. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Stellar Data Recovery possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.
Questo approccio si affida al backup nativo di Windows che fai sul computer, che viene condotto a ciascun punto di ripristino. C'è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.
Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell'eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da Lukitus sarà tanto semplice quanto accedere all'interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.
Come ho già detto, la semplice rimozione di Lukitus non consente di decrittare i file personali. I metodi di ripristino descritti nell’articolo potrebbero aiutare nell’intento, ma potrebbero anche dimostrarsi inefficaci. In ogni caso, non v’è dubbio che sia necessario rimuovere il ransomware dal computer.
Non di rado accade che Lukitus sia accompagnato da altri malware. Per tale ragione, si consiglia di effettuare scansioni di sistema regolari con appositi programmi di sicurezza, così da assicurarsi che non vi siano pericolosi residui del virus o di minacce ad esso associate all’interno del Registro di Windows o in altre porzioni del sistema.