Hur man stoppar Locky Ransomware: Förebyggande, dekryptering och återställning

Locky är det vanliga namnet för en ransomware-variant som dök upp första gången 2016. Den första versionen av Locky distribuerades av Necurs botnät; efterföljande versioner har introducerats av Necurs och andra distributionsgrupper.

Vanligtvis aktiveras ransomware när ett offer öppnar ett Microsoft Word-dokument som verkar visa skratt. Användaren instrueras att "aktivera makro om datakodningen är felaktig." Om användaren aktiverar makron, aktiveras ransomware och krypterar filer på måldatorn och ersätter deras filtillägg med det oanvändbara tillägget ".locky".

Offret kan inte komma åt sina filer om de inte betalar lösen i bitcoin. Locky skapar textfiler och bilder med instruktioner för att betala lösen.

Medan den ursprungliga versionen av Locky inaktiverades tillfälligt av hackare med vita hattar, skapade grupper av skadlig programvara snabbt liknande varianter som PowerLocky (diskuteras nedan). Förutom filtillägget ".locky" kan Locky-varianter ändra filtilläggen för riktade filer till:

• .aesir
• .mördare
• .diablo6
• .odin
• .thor
• .ykol
• .zepto
• .zzzzzz

Detta är en ofullständig lista över möjliga .Locky-filtillägg. För att korrekt diagnostisera en Locky-infektion rekommenderar vi att du kontaktar en professionell återställningspersonal för ransomware.

För mer detaljerad information om den ursprungliga versionen av Locky, läs: Locky Ransomware Infection And Decryption Services. Den länkade sidan skrevs i maj 2016 och viss information kan vara inaktuell.

Hur förhindrar jag en Locky Ransomware-infektion?

Det enklaste sättet att förhindra en Locky ransomware-infektion är att undvika att öppna Microsoft Word-dokument från okända källor. Locky kan dock också "spoofa" e-postkonton från kända användare – undvik att aktivera makron på något Microsoft Word-dokument om du inte helt kan verifiera syftet med makron.

Vissa versioner av Locky använder kända exploateringar; Dessa varianter förlitar sig inte på att Microsoft Word-makron aktiveras. Med andra ord, när användaren laddar ner filen och försöker öppna den kommer ransomwaren omedelbart att börja kryptera riktad data.

För företag finns programvara tillgänglig för att sätta Locky-filer i karantän och förhindra dem från att infektera nätverk. Skadliga angripare uppdaterar dock ofta sina attackvektorer, så behåll en säkerhetskopia av viktiga system (helst en säkerhetskopia med luftgap som inte är ansluten till nätverket).

Finns det ett Locky Ransomware-dekrypteringsverktyg?

Eftersom flera ransomware-varianter delar egenskaperna hos den ursprungliga Locky malware, finns det inget enkelt svar här. En version, PowerLocky, har ett gratis dekrypteringsprogram skapat av programmeraren Michael Gillespie. Läs mer om PowerLocky Decrypter här.

Vissa varianter som använder samma attackvektorer som PowerLocky använder dock mer robusta metoder. Den klassiska Locky ransomware (och många efterföljande versioner) använde nyckelgenerering på serversidan, vilket gjorde manuell dekryptering praktiskt taget omöjlig. Dessutom kan vissa större filer som databaser fortfarande vara oanvändbara efter dekryptering med gratisverktyg på grund av filkorruption som uppstår under dekrypteringsprocessen.

Eftersom många ransomware-varianter är designade för att spridas snabbt är det säkraste tillvägagångssättet att koppla bort det infekterade systemet från alla nätverk så snabbt som möjligt. Om du försöker dekryptera med gratisverktyg, se till att du kommer åt den infekterade enheten med en dator som inte innehåller någon annan känslig data.

Är dataåterställning möjlig för datorer som är infekterade med Locky?

I de flesta fall är återställning av ransomware möjlig för Locky-infektioner. Vi rekommenderar att du kontaktar en professionell dataåterställningsleverantör som ett första tillvägagångssätt – helst innan du försöker dekryptera på egen hand, eftersom vissa gratis dekrypteringsverktyg kan orsaka korruption för vissa typer av filer (som databaser och e-postarkiv).