VIRUS LOCKY INFORMACIÓN Y ELIMINACIÓN

Locky es un virus tipo ransomware que encripta los archivos de tu ordenador con el algoritmo AES-128. La forma de actuar el virus Locky es similar a CTB Locker, Cryptowall, Teslacrypt y Cryptolocker

Novedad del 13 de Mayo del 2016: Nueva versión del Locky que llega a traves del archivo adjunto 2.docm. Lo que hace este archivo es ejecutar el fichero nbtv64cvh.exe

COMO ACTUA EL VIRUS LOCKY

El primer paso es como te infectas con este virus y suele ser a traves del correo electronico en mensajes de spam que llevan adjunto un archivo con extensión .doc

El archivo adjunto empieza el proceso de encriptación de los archivos, puede tardar unas horas o varias dias. La encriptación se produce con el algoritmo AES-128.

Durante este proceso puedes notar que tu equipo se ralentiza, los archivos encriptados cambian de extensio a .locky

Cuando acaba la ancriptación aparece una ventana en el que se te da la opción de recuperar tus archivos pagando una cantidad de dinero. Se supone que cuando pagas te envian un codigo para desencriptar los archivos y recuperarlos, aunque en realidad no hay ninguna garantia de que sea cierto.

SOLUCIONES PARA ELIMINAR EL VIRUS LOCKY

Si has sido atacado por este virus o sospechas que lo tienes, pasa a tu ordenador un anti-malware y un antivirus.

AVISO: Los anti-malware y antivirus no desencriptan archivos de ningún tipo.

¿Como recuperar los archivos encriptados?

En estos momentos no hay una solución perfecta, pero en cualquier caso tienes tres opciones:

Puedes usar alguna de estas herramientas para recuperar algun archivo : Kaspersky virus-fighting utilities, Photorec or R-Studio.

Puedes esperar hasta que alguien cree una herramienta para desencriptar el virus Locky (esto puede llevar mucho tiempo).

Eliminar manualmente el virus Locky

  • Paso 1: Reinicia el windows en modo seguro
  • Paso 2: Ejecute esta orden pulsando las teclas Inicio + R y luego copiando y pegando, libreta% windir% / system32 / drivers / etc / hosts. Esta linea lo que hace es que aparezcan en el explodador de windows todos los archivos tanto del sistema como ocultos
  • Paso 3: Ejecute la orden Msconfig aparecera una ventana con ips. Elimine toda ip sospechosa.
  • Paso 4: Pulse las teclas CTRL + SHIFT + ESC y elimine todos los procesos sospechosos
  • Paso 5: Con la herramienta regedit de windows, localiza los siguientes registros y eliminalos.
    %UserpProfile%\Desktop\_Locky_recover_instructions.bmp
    %UserpProfile%\Desktop\_Locky_recover_instructions.txt
    %Temp%\[random].exe
    HKCU\Software\Locky
    HKCU\Software\Locky\id
    HKCU\Software\Locky\pubkey
    HKCU\Software\Locky\paytext
    HKCU\Software\Locky\completed
    HKCU\Control Panel\Desktop\Wallpaper

La última opción es realizar el pago que te piden, aunque es la menos recomendable ya que no hay ninguna garantia, ten en cuenta que estas pagando a los mismos que han infectado tu ordenador.

El aviso que recibes es: "!!! Información importante !!!! Todos sus archivos están encriptados con RSA-2048 y sistemas de cifrado AES-128. El descifrado de los archivos sólo es posible con la clave privada y el programa, que se encuentra en nuestro servidor secreto descifrar ".

El pago hay que hacerlo en la red Tor a traves de una pagina web .onion

SINTOMAS QUE TE INDICAN SI TU ORDENADOR ESTA INFECTADO

  • Su página de inicio por defecto o motor de búsqueda serán redirigidos a sitios no deseados.
  • Tu sistema funcionará más despacio y caerse al azar debido a la infección.
  • Un montón de anuncios molestos causados ​​por TrojanDownloader: JS / Locky.A inundarán en cada sitio al que acceda.
  • El consumo de la CPU "siempre sube alto, aunque se acaba de ejecutar varios programas.

LISTA DE EXTENSIONES DE ARCHIVOS QUE PUEDEN SER AFECTADO POR EL VIRUS LOCKY

mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Para finalizar un pequeño consejo, la mejor medida es la prevención, copias de seguridad, antivirus, antimalware y eliminar emails de desconocidos y de spam

Fecha actualización: 2016-5-11. Fecha publicación: . Categoría: Seguridad, Malware. Autor: Versión movil
Locky