[You must be registered and logged in to see this image.]Откакто се появи в началото на тази година,
Locky получава няколко версии и различни характеристики и метод за разпространение. След като се придържаше към скандинавската митология (с варианти, като .locky, .thor и .odin) той вече навлиза на полето на египетската с нови разширения, като .aesir и .osiris. Освен това в последния си вариант, той получава разпространение и посредством
зловредни Excel файлове. Прикриващ се като разписки, той се разпространява в zip-архиви чрез приложени файлове в електронни писма. Въпросните файлове съдържат макроси, които веднъж задействали се, свалят и инсталираt рансъмера.
Името на разпространяваните зловредни файлове е във вид на
Invoice_INV [случаен цифров ред].xls. След отварянето на документа, на системата бива свалян зловреден библиотечен .dll файл във временна директория, след което той се инсталира, като Locky, който търси и криптира файлове по зададен критерий. При криптирането той променя името на самия файл, добавяйки към него разширение
.osiris.“За съжаление все още декриптирането на .osiris файловете не е възможно. Единственият начин да възстановте файловете е посредством бекъп или ако сте късметлии, посредством Shadow Volume Copies. Макар и Locky да се опитва да ги премахне, в редки случаи той не успява да го направи, неизвестно защо. Поради това, ако нямате осъвременен архив, винаги предлагам на хората, като последна надежда да възстановят файловете чрез Shadow Volume Copies”, пише Лорънс Абръмс от страниците на Bleeping Computer.
/kaldata
__________________________________________________________________________
[You must be registered and logged in to see this image.]