Как удалить вирус Locky и можно ли дешифровать файлы с расширением .Locky
Итак, сегодня мы поговорим о вирусе Locky. Этот вирус принадлежит к разряду крипто-локеров (crypto-lockers). Отличие этого вируса от его аналогов состоит в том, что он использует алгоритм шифрования AES-128 с 128-битным ключом, который также называется «Рэндалл». Этот алгоритм используется для шифрования секретных документов правительством США, а также многими другими военными структурами. Данный шифр настолько сложен, что для расшифровки без ключа, вам понадобятся сотни лет, для того, чтобы привести в исходное состояние хоть один документ. Основываясь на опыте других пострадавших от вируса, можно сказать, что ваши файлы утеряны безвозвратно, и восстановить их удастся только при помощи отката системы, либо с использованием специальных программ восстановления. Цель данной статьи в том, чтобы помочь вам удалить Locky с вашего компьютера, и обезопасить вас от возможной атаки вируса в будущем. Если ваши файлы содержат информацию, сопоставимую по ценности с суммой выкупа, и вы намерены заплатить – то не удаляйте вирус с компьютера до тех пор, пока не получите ключ, и не дешифруете файлы. После удаления вируса дешифровка с помощью мошенников будет невозможной.
Как работает вирус Locky
Принцип работы подобных вирусов предельно прост, и он отлично работает на протяжении десятков лет, с тех самых пор как был изобретен Интернет. Крипто-локер проникает на компьютер, никак не выдавая своего присутствия, без запросов об установке и прочей индикации. После проникновения, вирус начинает шифровать всю информацию на жестком диске. Процесс этот может занять немало времени, в зависимости от емкости жесткого диска и объемов информации, которая хранится на нём. Помимо своей сложности и длительности, процесс требует много оперативной памяти и активно использует мощности процессора, что может вызывать «подвисания», торможения» и другие виды снижения работоспособности ПК. Если вы замечаете такие признаки, и при этом, у вас не запущены в данный момент другие мощные программы – проверьте Диспетчер Задач. Вирус пытается действовать скрытно, но его все равно можно отследить в Диспетчере. Вирус маскируется под системные процессы, и вы увидите, что запущено два процесса с одинаковыми названиями, причем один из процессов использует во много раз больше оперативной памяти и ресурсов ЦП чем другой. Чтобы остановить шифрование, следует немедленно закрыть этот процесс, и удалить все файлы, которые с ним связаны. Если же вы упустите этот момент, то следующим знаком заражения станет сообщение от вируса о том, что все файлы зашифрованы, и вам следует заплатить выкуп.
После получения сообщения, процесс будет уже завершен, и все ваши файлы будет в формате .locky. Само сообщение создано специально для того, чтобы запугать пользователя, и заставить его заплатить без раздумий. Сообщение выводится в доисторическом текстовом редакторе, изобилует угрозами, показывает ссылки о сложности используемых шифров, и может содержать счетчик, отсчитывающий время до удаления файлов. Расслабьтесь! Самое худшее уже произошло, и вирус ни в коем случае не удалит файлы самостоятельно, ведь тем самым мошенники лишатся возможности получить деньги. Перед тем как принять решение, взвесьте все «за» и «против». Если вирус зашифровал действительно ценную, или по каким-то причинам важную для вас информацию, то вы сможете восстановить её только после выкупа. Если же файлы не настолько важны, и вы сможете смириться с их потерей – то ни в коем случае не платите. Дело в том, что подобные мошенники преследуются властями многих государств за кибер-преступления, и чаще всего – безуспешно. Как думаете, вы сможете найти их и предъявить свои претензии? Увы, нет. Это значит, что у вас нет никаких рычагов давления на мошенников, и никаких средств контроля их деятельности. Мошенники, в свою очередь, не заботятся о своей репутации, и не надеются сделать вас своим постоянным клиентом. Как только они получат от вас деньги – им ничего не стоит просто попрощаться и не восстанавливать вашу информацию. Вы, фактически, просто отдадите им свои деньги, и вероятнее всего, не получите ничего взамен. Если же вы всё-таки решите заплатить, то помните, что это нужно делать ДО того, как удалить вирус с ПК. Платеж следует проводить с не зараженного компьютера, или со стационарного банковского терминала, так как на вашем ПК может быть еще и кейлоггер, который в придачу к вашим файлам, украдёт еще и пароль от карты или банковского счета.
Как удалить вирус Locky с компьютера
Все эксперты по компьютерной безопасности сходятся на том мнении, что платить мошенникам нужно только в том случае, если вы испробовали все остальные методы. Единственный 100% эффективный метод избавиться от вируса – это восстановление системы из сохраненной копии (бэкап). Если на момент получения сообщения о выкупе, у вас есть бэкап 2-3-дневной, или недельной давности – воспользуйтесь им немедленно. После восстановления следует провести полное сканирование компьютера на вирусы, чтобы исключить возможность повторного заражения. Если же вы не собираетесь платить – то у вас есть два способа избавиться от вируса: автоматический и ручной. Ручной способ включает в себя мануальное удаление всех компонентов вируса, чистку регистра и удаление связанных с вирусов компонентов. Такой процесс требует некоторой подготовки и знания компьютеров, и ошибка пользователя во время этого процесса грозит серьезными осложнениями. Наиболее безопасным и быстрым способом считается автоматическое удаление, производимое с помощью антивирусных программ. Мы советуем вам воспользоваться программой, под названием Spyhunter. Этот антивирус отлично справится с удалением Locky, и защитит ваш ПК от всех остальных угроз. Скачать SpyHunter можно по этой ссылке.
Шаг 1. Запустить систему в безопасном режиме
- Нажмите «Пуск»
- Введите Msconfig и нажмите «Enter»
- Выберите вкладку «Загрузка»
- Выберите «Безопасная загрузка» и нажмите OK
Шаг 2. Показать все скрытые файлы и папки
- Нажмите «Пуск»
- Выберите «Панель управления»
- Выберите «Оформление и персонализация»
- Нажмите на «Параметры папок»
- Перейдите во вкладку «Вид»
- Выберите «Показывать скрытые файлы, папки и диски»
- Нажмите OK
Шаг 3. Удалить файлы вируса
Проверьте следующие папки на предмет наличия в них файлов вируса:
- %TEMP%
- %APPDATA%
- %ProgramData%
Шаг 4. Очистка реестра
- Нажмите «Пуск»
- Введите «Regedit.exe» и нажмите «Enter»
- Нажмите «Ctrl+F» и введите "Locky" в строку поиска
- Удалите найденные файлы
- В нашем случае, файлы назывались так:
HKU\S...1000\Software\Locky
HKU\S-...1000\Software\Locky\id
HKU\S-...1000\Software\Locky\pubkey
HKU\S-1000\Software\Locky\paytext
HKU\S-...1000\Software\Locky\completed
Как расшифровать ваши файлы
Единственный способ, который гарантирует вам успех в удалении вируса Locky – это восстановление системы из сохраненной копии. Чтобы восстановить систему – следуйте инструкциям, приведенным ниже. Кроме того, восстановить файлы можно с помощью программ Recuva и ShadowExplorer, однако мы не успех не 100%.
- Нажмите «Пуск»
- Выберите «Панель управления»
- Нажмите «Система и безопасность»
- Выберите «Архивация и восстановление»
- Выберите «Восстановление файлов из архива»
- Выберите точку сохранения
Видео инструкция (на английском языке)