Як повністю видалити *.OSIRIS - Ransomware Locky virus?

Якщо ви відкриваєте будь-який окремий документ і бачите, що цей документ має розширення [8_random_characters]-[4_random_characters]-[4_random_characters]-[8_random_characters]-[12_random_characters].osiris . Цілком можливо, що ваш комп’ютер був атакований програмою-вимагачем Locky.

Щоб краще зрозуміти програми-вимагачі, читачі можуть ознайомитися з додатковою інформацією тут.

Locky — це програма-вимагач для шифрування файлів, вона шифрує особисті документи, виявлені на комп’ютерах «жертв», атакованих нею, за допомогою ключа RSA-2048 (алгоритм шифрування AES CBC 256). біт), потім відобразить повідомлення про те, що потрібно розшифрувати. дані, які вам потрібно заплатити приблизно 2,5 біткойна, або приблизно 1880 доларів США.

Інструкції «запаковані» на комп’ютерах жертв у 3 файли: OSIRIS.html, OSIRIS_ [4_digit_number].html і OSIRIS.bmp.

1. Як програма-вимагач Locky OSIRIS атакує ваш комп’ютер?

Блоковане програмне забезпечення-вимагач «розповсюджується» через спам-повідомлення, що містять вкладення або посилання на шкідливі веб-сайти. Кібер-злочинці розсилають спам-повідомлення з підробленими заголовками, змушуючи користувачів повірити, що це електронний лист від компаній DHL або FedEx.

Або під час встановлення певного програмного забезпечення користувачі непомітно встановлюють додаткове підроблене програмне забезпечення без їх відома.

2. Що таке OSIRIS – Locky ransomware?

Програмне забезпечення-вимагач Locky націлено на всі версії Windows, включаючи Windows 10, Windows Vista, Windows 8 і Windows 7. Цей тип програм-вимагачів використовує досить особливий спосіб шифрування файлів користувача, він використовує методи шифрування AES-265 і RSA, які гарантують, що жертви не матимуть вибір.

Коли програмне забезпечення-вимагач Locky встановлено на вашому комп’ютері, воно створює випадкові імена виконуваних файлів у папці %AppData" або %LocalAppData" . Цей виконуваний файл запускається та починає сканування всіх дисків на вашому комп’ютері для шифрування файлів даних.

Ransomeware Lock шукатиме файли з певними розширеннями для шифрування. Файли, які він шифрує, включають документи та важливі файли, такі як .doc, .docx, .xls, .pdf та деякі інші. Коли файли виявлено, до імен файлів додаються нові розширення (ezz, .exx, .7z.encrypted).

Нижче наведено список розширень файлів, на які спрямовані програми-вимагачі:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, гаманець, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt

Після того, як файли зашифровано за допомогою розширення .osiris, програма-вимагач Locky може створити файл OSIRIS.html , OSIRIS_[4_digit_number].html або OSIRIS.bmp для кожної папки із зашифрованими файлами та на комп’ютерах Windows.

Ці файли знаходяться в кожній папці, що містить зашифровані файли, а також у папці автозавантаження, яка містить програми, які автоматично відображаються під час входу користувачів. Ці файли міститимуть інформацію про те, як отримати доступ до платіжних сайтів і отримати ваші файли назад.

У більшості випадків програма-вимагач Locky захоплює розширення .EXE, і коли ви запускаєте виконуваний файл, вона намагатиметься видалити тіньові копії томів на комп’ютері.

Після завершення шифрування файлів даних буде видалено всі тіньові копії томів на вашому комп’ютері. Він не дозволяє користувачам використовувати тіньові копії томів для відновлення зашифрованих файлів.

3. Ваш комп'ютер атаковано програмою-вимагачем Locky - OSIRIS?

Коли програма-вимагач Lock атакує ваш комп’ютер, вона сканує всі диски в системі, щоб знайти цільові файли, шифрує ці файли та додає до файлів розширення .osiris.

Після того, як файли зашифровано, ви більше не зможете відкривати їх за допомогою тих самих програм, якими зазвичай їх відкриваєте. Крім того, коли програма-вимагач Locky завершить шифрування файлів жертви, вона також змінить шпалери на комп’ютері жертви.

Він також відобразить повідомлення про викуп у форматі HTML у вашому браузері за умовчанням. Ці примітки містять інструкції щодо підключення до служби розшифрування, де ви можете дізнатися більше про те, що сталося з вашими файлами та як оплатити.

Ransomware Locky відобразить таке повідомлення:

ВАЖЛИВА ІНФОРМАЦІЯ !!!!

Усі ваші файли зашифровано за допомогою шифрів RSA-2048 і AES-128.

Більше інформації про RSA та AES можна знайти тут:

hxxps://en.wikipedia.org/wiki/RSA_(криптосистема)

hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Розшифровка ваших файлів можлива лише за допомогою закритого ключа та програми для розшифровки, яка знаходиться на нашому секретному сервері.

Щоб отримати закритий ключ, перейдіть за одним із посилань:

[відредаговано]

Якщо всі ці адреси недоступні, виконайте такі дії:

1. Завантажте та встановіть Tor Browser: hxxps://www.torproject.org/download/download-easy.html

2. Після успішної інсталяції запустіть браузер і дочекайтеся ініціалізації.

3. Введіть в адресному рядку: [відредаговано]

4. Дотримуйтесь інструкцій на сайті.

!!! Ваш ідентифікаційний номер: [відредаговано]

4. Чи можливо розшифрувати файли, зашифровані програмою-вимагачем Locky?

Наразі неможливо відновити файли, зашифровані розширенням .osiris.

Найбільш помітною особливістю програми-вимагача Locky є спосіб шифрування файлів користувача. Зокрема, він використовує методи шифрування AES-265 і RSA, щоб гарантувати, що «атакованому» користувачеві не буде іншого вибору, окрім як придбати закритий ключ.

Відкритий ключ RSA можна розшифрувати за допомогою відповідного закритого ключа. Причина полягає в тому, що ключ AES приховано під час використання шифрування RSA, а закритий ключ RSA недоступний, тому розшифрувати файли неможливо.

А оскільки для розблокування зашифрованих файлів, доступних через кіберзлочинність, потрібен приватний ключ, жертви можуть спокусити на покупку та сплату непомірно високої комісії.

4.1. Використовуйте програмне забезпечення для відновлення файлів, зашифрованих програмою-вимагачем Locky

Варіант 1. Використовуйте ShadowExplorer для відновлення файлів, зашифрованих програмою-вимагачем Locky

1. Завантажте ShadowExplorer на свій комп’ютер і інсталюйте.

Завантажте ShadowExplorer на свій пристрій і встановіть його тут.

2. Після завантаження та встановлення ShadowExplorer ви можете переглянути інструкції щодо відновлення файлів за допомогою ShadowExplorer у відео нижче:

Варіант 2. Використовуйте програмне забезпечення для відновлення файлів, щоб відновити файли, зашифровані розширенням .osiris

Коли розширення .osiris шифрує будь-який файл, воно спочатку копіює цей файл, шифрує файл, який копіює, і видаляє вихідний файл. Тому, щоб виправити файли, зашифровані розширенням .osiris, ви можете скористатися програмним забезпеченням для відновлення файлів, наприклад:

• Recuva:

Завантажте Recuva на свій пристрій і встановіть її тут .

Перегляньте кроки відновлення зашифрованих файлів за допомогою Recuva у відео нижче:

• EaseUS Data Recovery Wizard безкоштовно:

Завантажте EaseUS Data Recovery Wizard Free на свій комп’ютер і встановіть тут.

• R-Studio:

Завантажте R-Studio на свій пристрій і встановіть його тут.

5. Як видалити розширення .osiris?

Крок 1. Використовуйте Malwarebytes Anti-Malware Free, щоб видалити вірус «Ваші особисті файли зашифровані»

Malwarebytes Anti-Malware Free — це безкоштовне програмне забезпечення, яке допомагає виявляти та видаляти сліди зловмисного програмного забезпечення (зловмисного програмного забезпечення), включаючи хробаків, троянів, руткітів, шахраїв, номеронабирачів, шпигунських програм та іншого програмного забезпечення.

Важливо, щоб Malwarebytes Anti-Malware працював пліч-о-пліч з іншим антивірусним програмним забезпеченням без конфліктів.

1. Завантажте Malwarebytes Anti-Malware Free на свій комп’ютер і встановіть.

Завантажте Malwarebytes Anti-Malware Free на свій пристрій і встановіть його тут.

2. Після завершення завантаження закрийте всі програми, а потім двічі клацніть піктограму з назвою mbam-setup , щоб розпочати процес встановлення Malwarebytes Anti-Malware.

У цей час на екрані з’явиться діалогове вікно «Контроль облікових записів користувачів» із запитом, чи хочете ви запустити файл чи ні. Натисніть Так , щоб продовжити.

3. Під час початку процесу інсталяції на екрані з’явиться вікно майстра встановлення Malwarebytes Anti-Malware. Дотримуйтеся вказівок на екрані, щоб інсталювати Malwarebytes Anti-Malware.

Щоб інсталювати Malwarebytes Anti-Malware, натискайте кнопку Далі , доки не з’явиться останнє вікно, натисніть Готово.

4. Після завершення встановлення Malwarebytes Anti-Malware автоматично відкриється. Щоб почати процес сканування системи, натисніть кнопку «Сканувати зараз».

5. Malwarebytes Anti-Malware почне сканувати ваш комп’ютер, щоб знайти та видалити зловмисне програмне забезпечення .osiris.

6. Після завершення процесу на екрані з’явиться вікно з відображенням шкідливого програмного забезпечення (зловмисного ПЗ), виявленого Malwarebytes Anti-Malware. Щоб видалити зловмисне програмне забезпечення та програми, виявлені Malwarebytes Anti-Malware, натисніть кнопку «Видалити вибране» .

7. Malwarebytes Anti-Malware помістить у карантин усі шкідливі файли та ключі реєстру, які виявить програма. Під час процесу видалення цих файлів Malwarebytes Anti-Malware може попросити вас перезавантажити комп’ютер, щоб завершити процес. Ваше завдання - перезавантажити комп'ютер, щоб завершити процес.

Крок 2. Використовуйте HitmanPro для видалення програми-вимагача Locky

HitmanPro призначений для « рятування » вашого комп’ютера від шкідливих програм, таких як віруси, трояни, руткіти тощо), які незаконно проникають у систему. HitmanPro розроблено для роботи паралельно з іншим програмним забезпеченням безпеки, не викликаючи конфліктів. Програма просканує ваш комп'ютер протягом 5 хвилин і не сповільнить роботу комп'ютера.

1. Завантажте HtmanPro на свій комп’ютер і встановіть.

Завантажте HtmanPro на свій пристрій і встановіть його тут.

2. Двічі клацніть файл під назвою « HitmanPro.exe » (якщо використовується 32-розрядна версія Windows) або « HitmanPro_x64.exe » (якщо використовується 64-розрядна версія Windows).

Натисніть «Далі» , щоб інсталювати HitmanPro на вашому комп’ютері.

3. HitmanPro почне сканувати ваш комп’ютер, щоб знайти та видалити шкідливі файли.

4. Після завершення процесу на екрані з'явиться вікно зі списком усіх шкідливих програм, знайдених HitmanPro. Натисніть «Далі» , щоб видалити зловмисне програмне забезпечення у вашій системі.

5. Натисніть кнопку «Активувати безкоштовну ліцензію» , щоб безкоштовно випробувати програму протягом 30 днів і видалити всі шкідливі файли з комп’ютера.

6. Як захистити комп’ютер від програми-вимагача Locky?

Щоб захистити свій комп’ютер від програми-вимагача Locky, найкраще встановити на комп’ютер антивірусні програми та регулярно створювати резервні копії особистих даних. Крім того, ви можете використовувати деякі програми, як-от HitmanPro.Alert , щоб запобігти зловмисним програмам і програмному забезпеченню (зловмисному програмному забезпеченню) шифрувати файли в системі.

Зверніться до кроків із завантаження та встановлення HitmanPro.Alert у відео нижче:

Зверніться до деяких найефективніших антивірусних програм для комп’ютерів Windows тут .

Зверніться до інших статей нижче:

• Що робити, щоб усунути помилку «Немає Інтернету після видалення зловмисного програмного забезпечення»?

• Як видалити непотрібні панелі інструментів у браузерах Chrome, Firefox, IE та Edge?

• Кроки для очищення від вірусу «Активуйте цей випуск Windows», який атакує ваш комп’ютер Windows

Удачі!