Nuovo Ransomware Locky cripta i file con estensione .Locky

Un nuovo Ransomware è stato scoperto nella giornata di ieri, si chiama Locky e cripta i file sia locali che delle unità che trova nella rete, utilizzando un algoritmo AES e chiedendo un riscatto inziale di 0.5 Bitcoin al cambio attuale 165 euro che successivamente aumenta a 1 Bitcoin.

Come gli altri ransomware viene allegato via e-mail ma la grande differenza è che l’allegato non è un file js, zip o un exe ma bensi un documento word che una volta lanciato chiede di attivare le macro che una volta attivate scaricano ed avviano un eseguibile. l’oggetto dell’email è ATTN: Invoice J-56485346 ( i numeri dopo la J sono random )

L’eseguibile del ransomware viene creato nella cartella dei file temporanei con un nome random o come svchost.exe e una volta finito di criptare si autocancella. Vengono inoltre creati i file di istruzione sul desktop _Locky_recover_instructions.txt e _Locky_recover_instructions.bmp

Non siamo a conoscenza per il momento di un modo per decriptare i file per informazioni scriveteci a support@techgeeks.it

locky

Appena lanciato, il malware lancia il comando ‘vssadmin delete shadows /all‘ che cancella all’istante le shadow copy presenti nel computer, capita che il comando non vada a buon fine perciò la prima cosa da verificare è la presenza di shadow copy utilizzando l’utility Shadow Copy Viewer. Effettuare inoltre una pulizia accurata del sistema seguendo questa guida.