Locky ransomware continua ad evolversi. Il nuovo .ODIN di estensione si pone come un’appendice per i nomi di estensione di file originale dopo che essi vengono crittografati. La cryptovirus cerca di crittografare quasi 400 tipi di file diversi. Come afferma la nota di riscatto, dati sono bloccati dall’algoritmo di crittografia RSA 2048 bit durante l’utilizzo di crittografia AES a 128-bit. Campagne di e-mail di spam hanno lanciato una tempesta di e-mail contenenti allegati dannosi. Per rimuovere la nuova variante di Locky e vedere se è in grado di decrittografare qualsiasi file, leggere attentamente questo articolo fino alla fine.
Minaccia di riepilogo .ODIN Virus â €”sfondo cronologico il virus di estensione del file .ODIN è in realtà una nuova variante di ransomware Locky . All’inizio di quest’anno, primo Locky iniziato crittografia people’ s file con un algoritmo militare forte. Quella prima variante utilizzato le campagne di e-mail di spam grande per diffondere Locky’ file di payload di s, compreso l’utilizzo di diversi exploit kit.
In seguito, verso la fine di questo mese di giugno, Locky siamo stati trasferiti con il. Zepto estensione. I ricercatori hanno visto che il codice è stato migliorato, mentre le campagne di email di spam sono stati più (e sono ancora in corso). File JavaScript sono stati utilizzati in allegati e-mail e i messaggi stessi sono stati inviati da botnet potente.
Quasi immediatamente dopo la . Zepto cryptovirus un’altra variante si unì questa famiglia di ransomware, va sotto il nome di Bart. Lo stesso layout di pagamento è stato utilizzato, ma anche rimarchiati con il nuovo nome. Quindi, medio i ricercatori hanno trovato che la terza iterazione del ransomware aveva difetti nel codice ed era decifrabile, quindi un programma decrypter ufficiale è stato rilasciato da loro. Come un contrattacco, il creatore di Bart ottimizzato il codice e rilasciato il cryptovirus di ransomware Bart2 migliorata.
Ora, il virus torna alle sue radici con suo originale nome â €”Locky, campagne di e-mail di spam massiccia e crittografia forte come l’originale.
.ODIN virus â €”tattiche di infezione
Il virus .ODIN utilizza più tattiche per diffondere l’infezione. Ci potrebbero essere attacchi mirati, ma per ora, il metodo prevalente utilizza botnet, presumibilmente la botnet Necurs usata da un mese fa. Le botnet si è diffusa la mail di spam, che tenta di convincere gli utenti ignari che le informazioni contenute nel file allegati sono urgente. Le e-mail utilizzano lo stesso nome di dominio come l’indirizzo e-mail a cui vengono inviati o uno completamente indipendente. I soggetti di queste e-mail sono principalmente i seguenti:
- Re: Documenti richiesti
- FW:Documents richiesto
- Aggiornamento fattura #[numero di 2 cifre]
I file trovati dentro gli allegati possono sembrare innocui, ma l’infezione inizia da lì. Solitamente i file verranno compressi in un archivio . zip . All’interno dell’archivio c’è un file . swf , ad esempio PYLPK3401.wsf. Ci potrebbe essere un equivalente in forma di una password protetta RTF documento. Se si esegue tale file, il computer sarà infettato, e i file sarebbero ottenere crittografati. Che succede tramite JavaScript o Script Windows, avviato dal file, conseguente scaricando il file di carico utile, che è . DLL file.
Scarica lo strumento di rimozionerimuovere ODINVarie altre tattiche per la diffusione dell’infezione più recente di Locky potrebbero essere implementati, come l’uso di social network e servizi di file sharing. Siate cauti quando navigando sul Web e astenersi dall’apertura di file sospetti, link e messaggi di posta elettronica. Eseguire controlli su file per le loro firme, dimensioni e anche la scansione con un’applicazione di sicurezza prima della loro apertura. Si dovrebbero vedere suggerimenti su come prevenire ransomware nel topic del nostro forum.
.ODIN virus â €”informazioni dettagliate
Il virus .ODIN è l’ultima iterazione di Locky ransomware. Campagne di email di spam distribuite da botnet rendono la diffusione veloce che è tipica per questo cryptovirus. I file sono più difficili da rilevare di varianti precedenti e il relativo codice sembrare aggiornati. Purtroppo, persone sono ancora vittime di questo tipo di attacchi, soprattutto quando essi sono personalizzati e imitare qualcuno da loro cerchia sociale.
Il cryptovirus di Locky download suo payload dall’apertura di un JavaScript o file di Script Windows che assomiglia a un documento. La nuova variante utilizza una libreria a collegamento dinamico (. File DLL), che sarà infettare il sistema e crittografare i file di dati.
Il ransomware utilizza il programma di RunDll32.exe integrato nel sistema operativo Windows per eseguire il file . dll utilizzando la riga di comando:
→rundll32.exe %Temp%[DLL nome del file], qwerty
Il ransomware modificherà le voci di registro del sistema operativo Windows a rimanere permanenti.
Le voci del registro di sistema sarà responsabile per il lancio automatico del virus .ODIN ad ogni avvio del sistema operativo Windows. Saranno anche rendere molto difficile la sua rimozione manuale e costantemente nuovamente se tutti i file principali non vengono rimossi in una sola volta. Quindi, avvia il processo di crittografia. Una volta terminata tale operazione, vedrete il vostro file con nomi modificati e alcuni file aggiuntivi che è possibile accedere. I tre file accessibili sono le seguenti:
- _HOWDO_text.html
- _HOWDO_text.bmp
- _[2_47]_HOWDO_text.html (dove 47 può essere qualsiasi numero di cifre)
Tali file contengono le istruzioni di pagamento e potete vedere in anteprima il contenuto nello screenshot qui sotto:
Il testo dei file _HOWDO_text si legge quanto segue:
Se si fa clic o digitare in quel link, si verrà reindirizzati alla pagina del sito con le istruzioni per il pagamento. Si terra sul sito seguente:
La variante del virus di .ODIN è stato testimone per chiedere i Bitcoin 1,5 e 0,5 a seconda della versione che si imbatte in una persona. È in ogni caso, non si paga il cyber criminali come non può essere garantito di ottenere i file indietro dopo il pagamento. Il denaro sarà certamente essere utilizzato per sostenere finanziariamente le attività criminali, come per sviluppare nuovo ransomware o più varianti di quest’ultimo. Se mettiamo Locky su una timeline immaginaria, cronologica, possiamo facilmente dedurre che solo ha continuato ad evolversi.
È possibile visualizzare alcuni articoli collegati al passato varianti del ransomware .ODIN proprio qui:
- Locky ransomware (estensione di .locky)
- Zepto Ransomware (estensione di .zepto)
- Bart Ransomware (. bart.zip estensione)
I file crittografati avrà la nuova estensione .ODIN e il nome del file viene modificato con simboli univoci e numeri per il computer. Il ransomware utilizza un algoritmo di crittografia RSA 2048 bit con 128 bit AES cifrari. È possibile aprire la fisarmonica e vedere l’elenco completo con i tipi di file che verranno crittografati su un computer compromesso da qui sotto:
Il ransomware .ODIN è altamente probabile per eliminare tutte le Copie Shadow Volume trovato sul vostro sistema operativo Windows. Continua a leggere giù qui sotto per vedere come rimuovere questo virus e provare alcuni modi per decrittografare parti dei vostri dati.
Rimuovere i file di .ODIN di Virus e ripristino .ODIN
Se il computer è stato infettato con il cryptovirus di .ODIN ransomware, si dovrebbe avere qualche esperienza nella rimozione di malware. Si dovrebbe sbarazzarsi di questo ransomware più velocemente possibile prima che può avere la possibilità di diffondere più profondo e infettare altri computer. Si dovrebbe rimuovere il ransomware e seguire il manuale di istruzioni dettagliate riportato di seguito. Per vedere i modi in cui è possibile tentare di recuperare i vostri file, vedere il passaggio dal titolo 2. Ripristinare i file crittografati da .ODIN Virus.
Eliminare manualmente .ODIN Virus dal tuo computer
Nota! Sostanza notifica circa la minaccia di .ODIN Virus : rimozione manuale di .ODIN Virus richiede interferenza con i registri e i file di sistema. Così, può causare danni al vostro PC. Anche se le competenze informatiche possedute non sono un professionista livello, donâ €™ t preoccupare. Si può fare la rimozione se stessi solo in 5 minuti, utilizzando uno strumento di rimozione malware.
Per i più recenti sistemi operativi di Windows
Guida alla rimozione manuale ODIN
Passo 1. Disinstallare ODIN e relativi programmi
Windows XP
- Aprire il menu Start e fare clic su pannello di controllo
- Scegliere Aggiungi o Rimuovi programmi
- Selezionare l’applicazione indesiderata
- Fare clic su Rimuovi
Windows 7 e Vista
- Fare clic su Start e selezionare Pannello di controllo
- Vai a disinstallare un programma
- Tasto destro del mouse sul software sospettoso
- Selezionare Disinstalla
Windows 8
- Spostare il cursore nell’angolo sinistro inferiore
- Tasto destro del mouse e aprire il pannello di controllo
- Selezionare Disinstalla un programma
- Cancellare le applicazioni indesiderate
Passo 2. Rimuovere ODIN dal tuo browser
Rimuovere ODIN da Internet Explorer
- Aprire IE e cliccare sull’icona ingranaggio
- Selezionare Gestisci componenti aggiuntivi
- Rimuovere estensioni indesiderate
- Cambiare la tua home page: icona ingranaggio → opzioni Internet (scheda generale)
- Ripristinare il vostro browser: icona ingranaggio → opzioni Internet (scheda Avanzate)
- Fare clic su Reimposta, spunta la casella e fare nuovamente clic su Reset
Eliminare ODIN da Mozilla Firefox
- Aprire Mozilla e scegliere dal menu
- Scegliere Componenti aggiuntivi e andare alle estensioni
- Selezionare il componente aggiuntivo non desiderato e fare clic su Rimuovi
- Reset Mozilla: Alt + H → informazioni di risoluzione dei problemi
- Fare clic su Reset Firefox, confermare e fare clic su fine
Disinstallare ODIN da Google Chrome
- Aprire Google Chrome e fare clic sul menu
- Selezionare strumenti → estensioni
- Scegliere il componente aggiuntivo e fare clic sull’icona di Trash can
- Cambiare il motore di ricerca: Menu → impostazioni
- Fare clic su Gestisci motori di ricerca in ricerca
- Eliminare il provider di ricerca indesiderati
- Ripristinare il vostro browser: impostazioni → Reset Impostazioni browser
- Fare clic su Reimposta per confermare la vostra azione