DMA Locker Virus 4

Валери 24 май 2016 г. 1 Коментар

DMA Locker 4.0 вирус на рансъмуер Е злонамерена програма, която при активиране криптира всички лични файлове (като снимки и документи), използвайки много силна хибридна система за криптиране AES + RSA. За разлика от други рансъмуери, разширението не се променя за криптирани файлове, но етикетът! DMALOCK4.0 се добавя в началото на всеки от тези файлове. Както и преди, целта на вируса DMA Locker 4.0 е да принуди потребителите да купуват програмата и ключа, необходим за дешифриране на собствените им файлове.

Malwarebytes Anti-malware

Как DMA Locker 4.0 рансъмуерът прониква в компютър

Какво представлява вирусът на рансъмуер DMA Locker 4.0

DMA Locker 4.0 рансъмуер вирусът е четвъртият вариант от групата DMA Locker. Тази злонамерена програма заразява съвременни версии на операционни системи Windows, като Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Този вирус използва режим на хибридно криптиране AES + RSA, което на практика елиминира възможността за декриптиране на груба сила на файлове.

Докато заразява компютър, вирусът-рансъмуер DMA Locker 4.0 използва системната директория% PROGRAMDATA%, за да съхранява собствените си файлове. Веднага след първото стартиране той се копира в тази папка под името svchostd.exe. За автоматично стартиране, когато компютърът е включен, рансъмуерът създава запис в системния регистър на Windows в раздела HKCU \\ Software \ Microsoft \ Windows \ CurrentVersion \ Run и името на защитната стена на Windows.

Веднага след стартирането вирусът сканира всички налични устройства, включително мрежово и облачно съхранение, за да определи кои файлове ще бъдат криптирани. Рансъмуерният вирус DMA Locker 4.0 използва разширението на името на файла като начин за определяне на групата файлове, които ще бъдат криптирани. Почти всички видове файлове са криптирани, включително такива често срещани като:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .set, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, портфейл, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

След като файлът е шифрован, името и разширението му не се променят, но префиксът "! DMALOCK4.0" се добавя към съдържанието на файла в самото начало, чрез което може да се идентифицира името или версията на рансъмуера. След това вирусът създава текстов документ, наречен cryptinfo.txt, който съдържа инструкции за дешифриране на криптирани файлове.

Рансъмуерът DMA Locker 4.0 активно използва тактики за сплашване, като дава на жертвата кратко описание на алгоритъма за криптиране и показва заплашително съобщение на работния плот. По този начин той се опитва да принуди потребителя на заразения компютър, без колебание, да плати откупа, за да се опита да си върне файловете.

Компютърът ми е заразен с рансъмуера DMA Locker 4.0?

Определянето дали компютърът ви е заразен или не с DMA Locker 4.0 е доста лесно. Моля, обърнете внимание, че всички ваши лични файлове като документи, снимки, музика и т.н. обикновено отворен в съответните програми. Ако например при отваряне на документ Word съобщава, че файлът е от неизвестен тип, тогава най-вероятно документът е криптиран и компютърът е заразен. Разбира се, наличието на работния плот на съобщение от вируса DMA Locker 4.0 или появата на файла cryptinfo.txt на диска също е признак за инфекция.

Ако подозирате, че сте отворили съобщение, заразено с вируса DMA Locker 4.0, но все още няма симптоми на инфекция, тогава не изключвайте и не рестартирайте компютъра си. Първо изключете интернет! След това следвайте стъпките, описани в това ръководство, раздел Как да премахнете вируса на рансъмуер DMA Locker 4.0. Друга възможност е да изключите компютъра, да извадите твърдия диск и да го проверите на друг компютър.