Soft2Secure

Penghilang dan alat dekripsi virus ransomware Locky (file .locky)

Penghilang dan alat dekripsi virus ransomware Locky (file .locky)

Operator penipuan ransomware Locky tampaknya sedang melatih keterampilan pemerasan mereka dalam beberapa cara. Mereka memasukkan virus ke dalam komputer menggunakan teknik yang serupa dengan cara penyebaran Trojan perbankan Dridex. Virus ini mengubah nama file dan melakukan enkripsi pada file tersebut, sehingga memperparah pemulihan. Dan tentu saja memerlukan biaya untuk mengakses data korban kembali.

Tidak ada yang sebanding dengan ransomware dalam hal merampok pengguna komputer. Saat ini dia menduduki puncak hierarki cybercrime, dan ancaman ini menyeret orang ke dalam jebakan rawa tak berujung dengan hampir tidak adanya peluang untuk keluar dari perangkap rumit yang dirancangnya ini. Infeksi yang mengubah file seseorang menjadi objek yang disandikan dengan ekstensi .locky adalah salah satu keturunan terbaru penularan berbahaya ini. Contoh ini sangat mencolok karena sang virus bergantung pada macro berbahaya dalam dokumen Microsoft Office untuk mengeksekusi kode jahat, dibandingkan dengan virus lainnya yang menyerang dengan paket eksploit atau file ZIP ekstraksi langsung. Dan juga, ransomware Locky bercampur dengan data yang tersimpan di jaringan berbagi yang belum dipetakan, yang merupakan sifat unik yang belum pernah terlihat sebelumnya dalam virus yang mengenkripsi file.

_Locky_recover_instructions.bmp

Setelah melanggar masuk, infeksi .locky mencari lebih dari 100 format file pada hard drive, drive jaringan (jika ada), dan media removable. Sementara itu, .locky mengabaikan beberapa direktori tingkat sistem, termasuk Windows, AppData, Program Files, dan temp. Kemudian, item yang cocok dengan ekstensi hardcode dienkripsi dengan AES cipher. Tampilan file yang dikodekan berubah drastis: nama masing-masing akan diganti dengan susunan angka dan karakter panjang dengan string .locky yang ditambahkan di akhir nama file. Untuk berkomunikasi dengan korban, ransomware menggantikan wallpaper desktop dengan file gambar BMP, yang pada dasarnya adalah urutan langkah-langkah untuk membayar tebusan sebesar 0,5 Bitcoins. Informasi yang sama juga tersedia dalam dokumen Notepad berjudul _Locky_recover_instructions.txt yang ada di dalam setiap folder data sasaran yang telah dibajak.

Locky Decrypter

Dengan menuju ke salah satu link berbasis The Onion Router yang ada dalam petunjuk tebusan, korban akan berakhir di laman Locky Decrypter. Link tersebut memberi saran perihal bayar-membayar pada orang yang terinfeksi atas kesepakatan yang dikenakan. Secara khusus, pengguna diminta untuk mengirimkan sejumlah BTC yang ditentukan berjumlah sekitar 200 USD untuk menebus file pribadinya. Menurut rinciannya, pembayaran adalah prasyarat untuk bisa mengunduh decodernya.

Locky menyebar melalui file Microsoft Word

Locky menyebar melalui file Microsoft Word yang tertaut dalam email yang salah. Pesan ini menyamar sebagai faktur, dengan nama subjek dan dokumen yang berubah menjadi “ATTN: Faktur J- (8 digit)”. Ketika pengguna membukanya, teks yang terlihat sebagian besar tidak dapat dimengerti dan berisi rekomendasi untuk mengaktifkan makro jika pengkodean data tidak benar. Begitu mengklik tombol Options di sebelah peringatan keamanan, macro akan terunduh dan menjalankan ransomware. Sebenarnya, ada alasan mengapa macro dinonaktifkan di pengaturan awal – komponen ini mudah dieksploitasi untuk menyuntikkan kode berbahaya. Jadi pastikan untuk tidak mengaktifkannya hanya karena Anda diminta melakukannya oleh lampiran email.

File yang sudah memiliki ekstensi .locky tidak mungkin dipulihkan dengan menyerang enkripsi untuk saat ini. Di sisi lain, tidak dianjurkan juga untuk membayar uang tebusan. Langkah-langkah di bawah ini memberikan metode-metode yang dapat dilakukan dalam menangani ransomware.

Penghapusan otomatis virus ransomware .locky

Pemusnahan ransomware ini dapat secara efisien dicapai dengan menggunakan perangkat lunak keamanan yang handal. Berpegang pada teknik pembersihan yang otomatis akan memastikan bahwa semua komponen dari infeksi tersebut bisa benar-benar dihapus dari sistem Anda.

1. Download utilitas keamanan yang direkomendasikan dan memeriksa PC Anda dari obyek-obyek berbahaya dengan memilih opsi Start Computer Scan.

Unduh penghilang virus .locky

2. Scan akan muncul dengan daftar item yang terdeteksi. Klik Fix Threats untuk menghapus virus dan infeksi yang terkait dari sistem Anda. Melengkapi fase proses pembersihan ini adalah hal yang paling mungkin dilakukan untuk menyelesaikan pemberantasan yang tepat wabah. Sekarang Anda menghadapi tantangan yang lebih besar – mencoba dan mendapatkan data Anda kembali.

Metode untuk mengembalikan file yang dienkripsi oleh .locky ransomware

Solusi 1: Gunakan software perbaikan file

Sangat penting untuk diketahui bahwa virus .locky menciptakan salinan file Anda dan mengenkripsinya. Sementara itu, file asli bisa dihapus. Ada aplikasi di luar sana yang dapat mengembalikan data yang sudah terhapus. Anda dapat menggunakan tool seperti Data Recovery Pro untuk tujuan ini. Versi terbaru dari ransomware di bawah pertimbangan cenderung menerapkan penghapusan yang aman dengan beberapa banyak tulisan, tetapi dalam hal apapun metode ini patut untuk dicoba.

Unduh Stellar Data Recovery Professional

Stellar Data Recovery Professional

Solusi 2: Memanfaatkan backup

Yang pertama dan terpenting, ini adalah cara yang bagus untuk memulihkan file Anda. Ini hanya berlaku, meskipun, jika Anda sudah membuat cadangan informasi yang tersimpan di komputer Anda. Jika demikian, jangan ragu untuk mendapatkan keuntungan dari pemikiran Anda.

Solusi 3: Gunakan Shadow Volume Copies

Dalam kasus yang tidak Anda ketahui, sistem operasi ini menciptakan apa yang disebut Shadow Volume Copies dari setiap file selama System Restore diaktifkan pada komputer. Ketika poin pemulihan dibuat dengan selang waktu tertentu, snapshot dari file seperti akan muncul pada saat bersamaan. Metode ini tidak menjamin pemulihan versi terbaru dari file Anda. Ini tentu layak dicoba meskipun demikian. Alur kerja ini dapat dilakukan dalam dua cara: manual dan melalui penggunaan solusi otomatis. Mari pertama-tama kita lihat proses manualnya.

  • Pakai fitur Versi Sebelumnya
    OS Windows menyediakan pilihan bawaan untuk memulihkan versi file sebelumnya. Hal ini juga dapat diterapkan untuk folder. Cukup klik kanan file atau folder, pilih Properties dan tekan tab Previous Versions. Dalam area versi, Anda akan melihat daftar salinan file/folder, dengan waktu dan indikasi tanggal masing-masing. Pilih entri terbaru dan klik Copy jika Anda ingin mengembalikan objek ke lokasi baru yang bisa Anda tentukan. Jika Anda klik tombol Restore, item tersebut akan dikembalikan ke lokasi semula.
    Previous versions
  • Gunakan alat Shadow Explorer
    Alur kerja ini memungkinkan untuk memulihkan versi file dan folder sebelumnya secara otomatis, tidak manual dan satu-persatu. Untuk melakukan hal ini, unduh dan instal aplikasi ShadowExplorer. Setelah Anda menjalankannya, pilih nama drive dan tanggal saat versi file diciptakan. Klik kanan folder atau file yang diinginkan dan pilih opsi Export. Lalu tentukan lokasi pemulihan data.
    ShadowExplorer

Memverifikasi apakah ransomware .locky sudah sepenuhnya terhapus

Sekali lagi, penghapusan file saja tidak mengarah pada dekripsi dari file pribadi Anda. Metode pegembalian data yang disorot di atas tersebut mungkin atau tidak mungkin melakukan trik, tapi ransomware sendiri bukanlah milik dalam komputer Anda. Sekali-kali sering datang dengan ransomware yang lainnya, yang mengapa hal tersebut sungguh masuk akal untuk dilakukannya pemindaian sistem berulang kali dengan perangkat lunak keamanan otomatis untuk memastikan tidak ada sisa-sisa berbahaya dari virus ini dan ancaman terkait yang tersisa di dalam Windows Registry dan lokasi-lokasi yang lainnya.

Unduh pemindai dan penghilang ransomware .locky