Locky ransomware ricevo un altro lifting facciale con il rilascio di nuova variante verrà questa volta che ha allega ai file criptati l’estensione .lukitus.
Il comportamento di Locky, una delle tipologie più diffuse di ransomware fino ad oggi, mostra quanto sia dinamico l’ambiente dell’estorsione on-line. L’ultimissima reincarnazione di Locky viene chiamata Lukitus, in base all’estensione che viene concatenata su tutti i file soggetti al sistema di criptazione malevolo. A proposito, questa è una parola finlandese che significa “bloccare”, quindi descrive il vero intento di questo virus in modo piuttosto preciso.
Come in precedenza, il file virus.lukitus miete le sue vittime tramite la malspam. Le email con i file tossici a bordo sono generate in grosse quantità da un botnet chiamato Necurs. Gli utenti che ricevono questi messaggi con un rischio di autorizzare l’infezione ad essere eseguita sui propri computer poiché cadono vittima di una finta fattura o di un avviso di mancata consegna. Il documento Microsoft Word allegato sembra un’esca, ma una volta aperto rivela essere vuoto o incomprensibile all’interno. L’intero trucco si basa sulle macro di Office che dovrebbero a quanto pare essere abilitate perché l’utente possa leggere i contenuti del documento. Non appena la macro inclusa VBA viene aperta, le cose sfuggono di mano – viene scaricato Lukitus ransomware e depositato nel sistema ospite in modo furtivo.
Quando eseguito sul computer, il ransomware per prima cosa esegue un tipo di riconoscimento. Analizza le partizioni degli hard disk locali, le condivisioni di rete e i drive removibili per cercare dozzine di file di tipi diversi. Una volta trovato tutto ciò che potrebbe essere di potenziale valore per la vittima, il ransomware Lukitus / Locky ransomware applica una solidissima miscela di sistemi di criptazione RSA-2048 e AES-128 per bloccare i dati. La criptazione non è l’unico effetto applicato alle voci prese di mira – l’infezione danneggia anche i filenames, sostituendo ognuno con 36 caratteri esadecimale e l’estensione .lukitus.
Per fornire alla vittima una guida sulla decriptazione dati, il virus Lukitus lascia delle note di salvataggio chiamate Lukitus-[4 chars].htm e Lukitus-[4 chars].bmp sul desktop e fa apparire l’edizione HTM su tutte le cartelle criptate. La nota di riscatto BMP è configurata per impostarsi automaticamente come sfondo del desktop. Questi file istruiscono l’utente su come scaricare e installare Tor Browser e usarlo per visitare una pagina il cui indirizzo è indicato in tutte le guide per il ripristino. In questo modo, l’utente finisce sulla pagina Locky Decryptor, ossia un portale di riscatto che afferma inoltre di poter fornire la chiave di decriptazione per la cifra di 0.5 Bitcoin che deve essere inviata ai perpetranti.
Fortunatamente, gli analisti sicurezza non sono ancora stati in grado di creare un decryptor adeguato gratuito per Locky in generale e per la variante Lukitus in particolare. Anche se la nota di riscatto potrebbe sembrare l’ultimo unica opzione date le circostanze, ci sono diverse altre tecniche potrebbero aiutare a ripristinare i file con l’estensione .lukitus senza dover pagare.
La terminazione di questo ransomware può essere portata a termine in modo efficiente con un software di sicurezza affidabile. Aderire alla tecnica di pulizia automatica assicura che tutti i componenti dell’infezione vengano accuratamente spazzati via dal vostro sistema.
Soluzione Alternativa n°1: Usare un software di ripristino file
È importante sapere che il virus Lukitus crea delle copie dei vostri file e le cripta. Nel frattempo, i file originali vengono eliminati. Ci sono delle applicazioni sul mercato che possono ripristinare i dati rimossi. Potete utilizzare strumenti come Data Recovery Pro per questo scopo. La versione più recente del ransomware considerato tende ad applicare una eliminazione sicura con diverse sovrascritture, ma in ogni caso vale la pena provare questo metodo.
Soluzione Alternativa n°2: Usare i backup
Per prima cosa, questo è un ottimo modo per recuperare vostri file. Può essere applicato, però, solo se avete effettuato il backup delle informazioni conservate sulla vostra macchina. In questo caso, non esitate a sfruttare la vostra previdenza.
Soluzione Alternativa n°3: Usare Copie Shadow Volume
In caso non lo sappiate, il sistema operativo crea delle cosiddette Shadow Volume Copies di ogni file fintanto che è attivato il Ripristino di Sistema sul computer. Dato che vengono creati dei punti di ripristino ad intervalli specifici, vengono generate anche delle istantanee dei file così come questi appaiono in quel momento. Tenete in considerazione che questo metodo non assicura il recupero delle versioni più recenti dei vostri file. Certamente però vale la pena provare. Questo flusso di lavoro è attuabile in due modi: manualmente e attraverso l’uso di una soluzione automatica. Diamo prima un’occhiata al processo manuale.
Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.
Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.
Di nuovo, la sola rimozione del malware non porta alla decriptazione dei vostri file personali. I metodi di ripristino dati evidenziati sopra possono o non possono funzionare, ma il ransomware di per se stesso non può stare sul vostro computer. Incidentalmente, spesso è accoppiato ad altro malware, ed ecco perché ha decisamente senso analizzare ripetutamente il sistema con un software di sicurezza automatico per poter garantire che non ci siano resti nocivi di questo virus e delle minacce associate all’interno del Registro Windows e di altre posizioni.
Scarica lo strumento di rimozione del virus ransomware Lukitus