Come rimuovere completamente il virus *.OSIRIS - Ransomware Locky?

Se apri un singolo documento e vedi che il documento ha l'estensione [8_random_characters]-[4_random_characters]-[4_random_characters]-[8_random_characters]-[12_random_characters].osiris . È molto probabile che il tuo computer sia stato attaccato dal ransomware Locky.

Per comprendere meglio il ransomware, i lettori possono fare riferimento a ulteriori informazioni qui.

Locky è un ransomware di crittografia dei file, crittograferà i documenti personali rilevati sui computer delle "vittime" da esso attaccate, utilizzando la chiave RSA-2048 (algoritmo di crittografia AES CBC 256-bit), quindi visualizzerà un messaggio che dice di decrittografare i dati necessari per pagare circa 2,5 Bitcoin, o circa $ 1880.

Le istruzioni sono "impacchettate" sui computer delle vittime in 3 file: OSIRIS.html, OSIRIS_ [4_digit_number].html e OSIRIS.bmp.

1. In che modo il ransomware Locky OSIRIS attacca il tuo computer?

Locky ransomware viene "distribuito" tramite e-mail di spam contenenti allegati o collegamenti a siti Web dannosi. I criminali informatici sono e-mail di spam con informazioni di intestazione false, che inducono gli utenti a credere che si tratti di un'e-mail proveniente da società DHL o FedEx.

Oppure, quando installano determinati software, gli utenti installano in modo invisibile altri software falsi a loro insaputa.

2. Cos'è il ransomware OSIRIS – Locky?

Locky ransomware prende di mira tutte le versioni di Windows, inclusi Windows 10, Windows Vista, Windows 8 e Windows 7. Questo tipo di ransomware utilizza un modo piuttosto speciale di crittografare i file utente, utilizza metodi di crittografia AES-265 e RSA per garantire che le vittime non abbiano scelta.

Quando il ransomware Locky è installato sul tuo computer, crea nomi eseguibili casuali nella cartella %AppData" o nella cartella %LocalAppData" . Questo eseguibile si avvia e inizia la scansione di tutte le unità del computer per crittografare i file di dati.

Ransomeware Lock cercherà file con estensioni specifiche da crittografare. I file crittografati includono documenti e file importanti come .doc, .docx, .xls, .pdf e alcuni altri. Quando vengono rilevati file, aggiunge nuove estensioni ai nomi dei file (ezz, .exx, .7z.encrypted).

Di seguito è riportato un elenco delle estensioni di file prese di mira dal ransomware:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portafoglio, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt

Dopo che i file sono stati crittografati con l'estensione .osiris, Locky ransomeware può creare un file OSIRIS.html , OSIRIS_[4_digit_number].html o OSIRIS.bmp per ogni cartella con file crittografati e sui computer Windows.

Questi file si trovano in ogni cartella contenente file crittografati, nonché nella cartella Esecuzione automatica, che contiene programmi che vengono visualizzati automaticamente quando gli utenti accedono. Questi file conterranno informazioni su come accedere ai siti di pagamento e ricevere indietro i tuoi file.

Nella maggior parte dei casi, Locky ransomeware prenderà il controllo dell'estensione .EXE e quando avvii un eseguibile tenterà di eliminare le copie shadow del volume sul computer.

Dopo aver completato la crittografia dei file di dati, verranno eliminate tutte le copie shadow del volume sul tuo computer. Non consente agli utenti di utilizzare le copie shadow del volume per ripristinare file crittografati.

3. Il tuo computer è stato attaccato dal ransomware Locky - OSIRIS?

Quando il ransomeware Lock attacca il tuo computer, esegue la scansione di tutte le unità del sistema per trovare i file presi di mira, li crittografa e aggiunge l'estensione .osiris ai file.

Una volta crittografati i file, non potrai più aprirli con gli stessi programmi con cui li apri normalmente. Inoltre, quando il ransomware Locky termina di crittografare i file della vittima, cambierà anche lo sfondo sul computer della vittima.

Verrà inoltre visualizzata una richiesta di riscatto in formato HTML nel browser predefinito. Queste note includono istruzioni su come connettersi al servizio Decrypt, dove puoi saperne di più su cosa è successo ai tuoi file e come pagare.

Ransomware Locky visualizzerà il seguente messaggio:

INFORMAZIONI IMPORTANTI !!!!

Tutti i tuoi file sono crittografati con cifrature RSA-2048 e AES-128.

Maggiori informazioni su RSA e AES possono essere trovate qui:

hxxps://en.wikipedia.org/wiki/RSA_(criptosistema)

hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

La decriptazione dei tuoi file è possibile solo con la chiave privata e il programma di decriptazione, che si trova sul nostro server segreto.

Per ricevere la tua chiave privata segui uno dei link:

[modificato]

Se tutti questi indirizzi non sono disponibili, attenersi alla seguente procedura:

1. Scarica e installa Tor Browser: hxxps://www.torproject.org/download/download-easy.html

2. Al termine dell'installazione, eseguire il browser e attendere l'inizializzazione.

3. Digita nella barra degli indirizzi: [modificato]

4. Seguire le istruzioni sul sito.

!!! Il tuo ID di identificazione personale: [modificato]

4. È possibile decrittografare i file crittografati dal ransomware Locky?

Al momento non è possibile recuperare file crittografati con l'estensione .osiris.

La caratteristica più notevole del ransomware Locky è il modo in cui crittografa i file dell'utente. Nello specifico, utilizza i metodi di crittografia AES-265 e RSA per garantire che l'utente "attaccato" non abbia altra scelta se non quella di acquistare la chiave privata.

La chiave pubblica RSA può essere decifrata con la chiave privata corrispondente. Il motivo è che la chiave AES è nascosta quando si utilizza la crittografia RSA e la chiave RSA privata non è disponibile, pertanto la decrittografia dei file non è fattibile.

E poiché è necessaria una chiave privata per sbloccare i file crittografati, che sono disponibili attraverso la criminalità informatica, le vittime possono essere indotte ad acquistare e pagare tariffe esorbitanti.

4.1. Utilizza il software per recuperare file crittografati dal ransomware Locky

Opzione 1: utilizza ShadowExplorer per recuperare i file crittografati dal ransomware Locky

1. Scarica ShadowExplorer sul tuo computer e installalo.

Scarica ShadowExplorer sul tuo dispositivo e installalo qui.

2. Dopo aver scaricato e installato ShadowExplorer, puoi fare riferimento alle istruzioni per ripristinare i file con ShadowExplorer nel video qui sotto:

Opzione 2. Utilizza un software di recupero file per recuperare i file crittografati dall'estensione .osiris

Quando l'estensione .osiris crittografa qualsiasi file, prima copia quel file, crittografa il file che copia ed elimina il file originale. Pertanto, per correggere i file crittografati dall'estensione .osiris, è possibile utilizzare software di recupero file come:

• Recuva:

Scarica Recuva sul tuo dispositivo e installalo qui .

Fare riferimento ai passaggi per recuperare file crittografati con Recuva nel video qui sotto:

• Procedura guidata di recupero dati EaseUS gratuita:

Scarica EaseUS Data Recovery Wizard gratuitamente sul tuo computer e installalo qui.

• R-Studio:

Scarica R-Studio sul tuo dispositivo e installalo qui.

5. Come rimuovere l'estensione .osiris?

Passaggio 1: utilizzare Malwarebytes Anti-Malware Free per rimuovere il virus "I tuoi file personali sono crittografati".

Malwarebytes Anti-Malware Free è un software gratuito che aiuta a rilevare e rimuovere tracce di software dannoso (malware) inclusi worm, trojan, rootkit, rogue, dialer, spyware e altri software.

È importante che Malwarebytes Anti-Malware funzioni fianco a fianco con altri software antivirus senza conflitti.

1. Scarica Malwarebytes Anti-Malware gratuito sul tuo computer e installalo.

Scarica Malwarebytes Anti-Malware gratuitamente sul tuo dispositivo e installalo qui.

2. Una volta completato il download, chiudi tutti i programmi, quindi fai doppio clic sull'icona denominata mbam-setup per avviare il processo di installazione di Malwarebytes Anti-Malware.

A questo punto, sullo schermo verrà visualizzata la finestra di dialogo Controllo account utente che chiede se si desidera eseguire il file o meno. Fare clic su Sì per continuare.

3. Quando si avvia il processo di installazione, sullo schermo viene visualizzata la finestra di installazione guidata di Malwarebytes Anti-Malware, seguire le istruzioni visualizzate per installare Malwarebytes Anti-Malware.

Per installare Malwarebytes Anti-Malware, fare clic sul pulsante Avanti finché non viene visualizzata l'ultima finestra, quindi fare clic su Fine.

4. Al termine dell'installazione, Malwarebytes Anti-Malware si aprirà automaticamente. Per avviare il processo di scansione del sistema, fare clic sul pulsante Scansione ora.

5. Malwarebytes Anti-Malware inizierà la scansione del tuo computer per trovare e rimuovere il malware .osiris.

6. Al termine del processo, sullo schermo verrà visualizzata una finestra che mostra il software dannoso (malware) rilevato da Malwarebytes Anti-Malware. Per rimuovere software e programmi dannosi rilevati da Malwarebytes Anti-Malware, fare clic sul pulsante Rimuovi selezionato .

7. Malwarebytes Anti-Malware metterà in " quarantena " tutti i file dannosi e le chiavi di registro rilevati dal programma. Durante il processo di rimozione di questi file, Malwarebytes Anti-Malware potrebbe chiederti di riavviare il computer per completare il processo. Il tuo compito è riavviare il computer per completare il processo.

Passaggio 2: utilizza HitmanPro per rimuovere Locky ransomware

HitmanPro è progettato per " salvare " il tuo computer da malware come virus, trojan, rootkit, ...) che entrano illegalmente nel sistema. HitmanPro è progettato per funzionare in parallelo con altri software di sicurezza senza causare conflitti. Il programma eseguirà la scansione del tuo computer entro 5 minuti e non rallenterà il tuo computer.

1. Scarica HtmanPro sul tuo computer e installalo.

Scarica HtmanPro sul tuo dispositivo e installalo qui.

2. Fare doppio clic sul file denominato " HitmanPro.exe " (se si utilizza la versione a 32 bit di Windows) o " HitmanPro_x64.exe " (se si utilizza la versione a 64 bit di Windows).

Fai clic su Avanti per installare HitmanPro sul tuo computer.

3. HitmanPro inizierà la scansione del tuo computer per trovare e rimuovere file dannosi.

4. Al termine del processo, sullo schermo verrà visualizzata una finestra contenente un elenco di tutti i programmi dannosi rilevati da HitmanPro. Fare clic su Avanti per rimuovere malware dal sistema.

5. Fare clic sul pulsante Attiva licenza gratuita per provare il programma gratuitamente per 30 giorni e per rimuovere tutti i file dannosi dal computer.

6. Come proteggere il tuo computer dal ransomeware Locky?

Per proteggere il tuo computer dal ransomeware Locky, è meglio installare programmi antivirus sul tuo computer ed eseguire regolarmente il backup dei tuoi dati personali. Inoltre, puoi utilizzare alcuni programmi come HitmanPro.Alert per impedire a programmi e software dannosi (malware) di crittografare i file nel sistema.

Fare riferimento ai passaggi per scaricare e installare HitmanPro.Alert nel video qui sotto:

Fai riferimento ad alcuni dei software antivirus più efficaci per computer Windows qui .

Fare riferimento ad alcuni altri articoli di seguito:

• Cosa fare per gestire l'errore "Nessuna connessione Internet dopo la rimozione del malware"?

• Come rimuovere le barre degli strumenti indesiderate sui browser Chrome, Firefox, IE ed Edge?

• Passaggi per eliminare il virus "Attiva questa edizione di Windows" che attacca il tuo computer Windows

Buona fortuna!