Естественно, вымогатель не просто переименовывает ваши файлы в файлы с расширением .locky, а вначале шифрует их. Купить ключ расшифровки у мошенников можно через так называемую Dark Net по цене 0,5 до 1 биткоина.

Наиболее распространенный способ заражения:

  • Вы получаете электронное письмо, содержащее присоединенный документ (Troj/DocDl-BCF) с текстом, похожим на набор символов.
  • Документ советует вам включить макросы, «если кодирование данных неправильное».
  • Если вы включаете макросы, то выполняете код, который сохраняет вредоносное ПО на диск.
  • Сохраненный файл (Troj/Ransom-CGX) служит загрузчиком вредоносного ПО на ваш ПК.
  • Далее производится загрузка вируса-вымогателя Locky (Troj/Ransom-CGW).

Locky зашифровывает длинный список расширений, включая видео, изображения, исходный код и файлы Office. Мало того, он скремблирует wallet.dat, файл вашего бумажника с биткоинами. Locky также удаляет любые файлы Volume Snapshot Service (VSS), также известные как теневые копии, которые вы, возможно, сделали.

Стоит, увы, признать, что нет способов вернуть ваши данные, если у вас нет свежей резервной копии. И если у вас в бумажнике больше биткоинов, чем стоимость выкупа, и к тому же у вас нет резервной копии, то скорее всего вы заплатите.

Как и большое число других вирусов-вымогателей, Locky не просто шифрует ваш диск C, он шифрует любые файлы в любом каталоге на любом подсоединенном внешнем диске, включая съемные или сетевые ресурсы, независимо от того, под какой ОС они работают.

Что делать?

  1. Регулярно делайте резервные копии и храните их на неподключенных устройствах.
  2. Никогда не включайте макросы в документах, полученных по электронной почте.
  3. Не открывайте незапрашиваемые документы, присланные по электронной почте.
  4. Задумайтесь об установке средств работы с документами Microsoft Office, которые не поддерживают макросы.

Версия для печати