Locky virus napada sve redom i uništava podatke

U februaru 2016. detektovan je veoma opasan trojan, odnosno Locky virus, koji napada računare putem email poruka. Žrtvi se obično šalje na email lažni račun koji izgleda prilično realno, a po otvaranju poruke startuje se virus koji enkriptuje sve podatke na disku. Podatke je nemoguće spasiti, zaštitite se na vreme!

Virus Locky se dobija posećivanjem zaraženih sajtova, ali najčešće stiže na email. Ugroženi su svi koji koriste Microsoft Outlook, Windows Live Mail, Thunderbird i ostale programe za poštu sa podešenim nalozima za email firme ili lokalnog provajdera (tipa Eunet.rs, Beotel.net i sl.). Google web mail je mnogo bezbedniji, jer virus ne ide u Inbox već ih Google automatski stavlja u Junk mail i blokira im pristup.

locky-virus-ransomwareKad se otvori poruka, startuje se makro virus ili se prikaže poruka da je potrebno uključiti makro u Wordu, posle čega kreće enkriptovanje svih dokumenata i slika u računaru.

Odmah po napadu virusa, korisnik će primetiti da se računar jako uspori, da krči hard disk i da svetli HDD lampica na kućištu računara ili laptopa. Za enkriptovanje je potrebno neko vreme, pa ako primetite ovakvo dešavanje posle otvaranja mejla, odmah ugasite računar nasilno i nemojte ga uključivati više, jer će virus nastaviti sa uništavanjem fajlova.

locky-files-virusKorisnik najčešće primeti da je računar zaražen tako što umesto svojih dokumenata vidi šifrovane nazive fajlova sa ekstenzijom .locky. To znači da je posao Locky virusa već završen i da preostaje samo da se pozdravite sa dokumentima ili da pokušate da platite hakerima otkup od par stotina ili par hiljada dolara.

Locky virus takođe prolazi kroz mrežu čak i ako nema mapiranih diskova i enkriptuje fajlove na svim računarima ili LAN storage diskovima. Zato je potrebno da se smanje dozvole za razmenu foldera na minimum (read only). Nije dovoljno postaviti šifru za pristup, jer korisnici i onako moraju ukucati šifru da bi pristupili fajlovima, a pošto virus Locky preuzme kontrolu nad korisničkim nalogom, može da radi isto što i korisnik.

Locky virus briše i Shadow Volume Copy, tako da nije moguće spasiti fajlova iz arhive! Backup nije dovoljan, potrebno je isključiti disk na kom je backup.

OneDrive, Google disk i ostali Cloud servisi nisu nikakva zaštita jer će se prvom prilikom sinhronizovati, tako da će i fajlovi na cloud serveru biti uništeni!

U svakom zaraženom folderu gde su enkriptovani fajlovi, nalazi se fajl Locky_recover_instructions.txt sa uputstvom kako da se otključaju fajlovi.

locky-virus-file-encryptionMožete pokušati sami da povratite fajlove tako što ćete preko Tor mreže i Tor browser-a otvoriti link za uplatu, zatim otvoriti Bitcoin račun, naći Bitcoin menjačnicu i uplatiti dolare a zatim preneti novac na račun kriminalaca. Pošto je procedura prilično komplikovana, možete poveriti ovaj posao vašem servisu računara.

Kriminalci traže otkup od 0,5 BTC (BitCoin), ali ta cena se svakog dana uvećava, pa treba brzo odlučiti da li su vam potrebni podaci i da li želite da platite otkup. Trenutna cena 1BTC = 450 USD! Često otkup bude i po 3-4 BTC ako se čeka predugo. Napominjemo da plaćanje otkupa kriminalcima ne znači i da će ispoštovati dogovor, pa je ovo čist rizik. Iz dosadašnjeg iskustva možemo reći da su naši klijenti uvek dobijali sofverske ključeve za pristup svojim fajlovima, jer ni kriminalcima ne odgovara ako se pročuje da ne poštuju dogovor.

Čišćenje Locky virusa i spasavanje podataka

Ne pokušavajte da očistite Locky virus ili bilo koji drugi crypto virus ako su vam važni podaci! Brisanjem .locky fajlova uklonićete i mogućnost da se podaci spasu čak i da platite.

Podatke možete povratiti samo ako platite otkup, a pošto je procedura veoma komplikovana, preporučujemo da donesete računar u servis da mi to završimo, jer imamo dosta iskustva sa tim. Prvo je potrebno videti koliko Bitcoin-a traže za otkup, a zatim kupiti Bitcoin za pravi novac, uplatiti sa svog računa lopovima, posle čega će stići ključ. Zatim se pokrene program koji sa ključem koji ste dobili otključa sve fajlove. Ovo obično uspe, do sada nas nisu prevarili, ali moramo se ograditi jer su to ipak kriminalci i ne moraju da održe obećanje. Naše usluge spasavanja podataka se plaćaju 100€ u svakom slučaju.

Ako ste spasili podatke uplatom na račun kriminalaca ili ste odustali od spasavanja, potrebno je potpuno ukloniti particije na disku i napraviti nove. Jedino tako možete biti sigurni da nije negde ostao deo virusa. Takođe, dobro je izbrisati disk metodom wipe, kako se ne bi nekada prilikom oporavka podataka ponovo aktivirao virus. Ako ste koristili računar u mreži, proverite ostale računare. Ako ste koristili USB fleš memoriju ili eksterne hard diskove, proverite i njih pomoću dobrog antivirus programa. Instalirajte novi sistem i odmah ga zaštitite. Email poruke sa virusima izbrišite na serveru ako ste u mogućnosti putem webmail pristupa, ali i na svim ostalim računarima koji koriste istu email adresu.

Kako zaštititi računar i podatke od Locky virusa?

Napravite arhivu važnih podataka najbolje na DVD ili ako ih ima puno, na eksterni disk koji ćete posle isključiti i odložiti na sigurno mesto. Sve email poruke koje stižu od nepoznatih osoba odmah izbrišite, pogotovo ako imaju u dodatku fajlove. Čistite smeće iz računara, jer pored toga što guši računar, gomila smeća je i vrlo pogodno mesto za skrivanje virusa.

Kao vrhunsku zaštitu preporučujemo Avast antivirus i to verziju Avast Internet Security. Pojačajte antivirus zaštitu na maksimum i instalirajte i neki besplatan program protiv trojanaca i adware, npr. AdBlock dodatak za Firefox i Chrome. U okviru Avast antivirusa nađite opciju Hardened mode i postavite je na Agressive, a mora biti uključena i opcija za automatsko ažuriranje programa.

Pazite šta otvarate prilikom pregledanja internet stranica. Ako vam je bilo šta sumnjivo ili niste tražili instalaciju, odmah zatvorite prozor ili ako to nije moguće, restartujte računar.