什么是 Locky 勒索软件?
Locky 是勒索软件,与许多其他软件没有什么不同:它会加密用户的文件并要求为解密工具付费。 存储在云服务中的文件和本地网络上的共享文件也经过加密,因此取回文件的唯一可靠方法是从离线备份中恢复。 即使支付赎金也不是一种可靠的方法:一些用户报告说解密工具无法解密所有文件。 但是,某些方法(例如从卷影副本还原文件)在某些情况下可能有效。 如果您被击中并想了解如何 删除 Locky 并解密您的文件,你可以阅读这篇文章。
Locky 勒索软件的工作原理
Locky 主要通过电子邮件中的 Word 文档进行分发,尽管通过访问恶意网站进行感染也时有发生。 如果在用户的 Word 设置中启用了宏,则会执行下载可执行文件的特定宏。 然后启动该文件,并开始加密所有具有某些扩展名的用户文档。 文件的名称更改为数字和字母字符串,并添加了 .locky 扩展名。
如何摆脱 Locky
您可以使用恶意软件删除工具或手动删除 Locky 留下的所有文件和注册表值。
删除 Locky 留下的文件和注册表项
删除这些文件:
%Temp%\(random).exe
%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
删除这些注册表项和值:
HKEY_CURRENT_USER\Software\Locky
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"
如何取回Locky加密的文件
使用解密工具
在撰写本文时,还没有 Locky 的解密工具存在; 然而,总有一种可能在未来被创造出来。
从云服务恢复
Locky 对存储在云服务上的文件进行加密,但是,您可以尝试使用以前版本的某些服务(例如 Google Drive、DropBox、SkyDrive)提供的功能。 为此,您必须使用该服务的网站:右键单击文件并选择以前的版本、管理修订或类似内容。 查看是否有任何未加密版本的文件可用。
使用以前的版本实用程序
虽然 Locky 会删除通过此 Windows 功能创建的文件的卷影副本,但有时会发生错误或用户能够阻止 Locky 完成其工作,并且以前版本的文件仍可访问。 在 Windows 7 中,您可以右键单击文件或文件夹,选择属性 => 以前的版本,然后选择最新的可用版本。 对于其他版本的 Windows,您需要使用 影浏览器 用于访问文件卷影副本的工具。
请注意,只有当您打开系统还原时,才会创建文件的卷影副本。
未来如何保护自己免受 Locky 和类似勒索软件的侵害:
- 定期备份您的数据。 至少其中一个备份应位于可移动媒体上,远离计算机存储(未连接到计算机)。
- 不要打开不认识的人发送的电子邮件中的附件。 事实上,即使您收到一封来自朋友的电子邮件并且其中有一个您意想不到的附件,在单击附件之前,最好确保您的朋友真的发送了它。
- 在打开电子邮件附件之前,请使用 www.virustotal.com 扫描它们。
- 安装了强大的反恶意软件。
- 保持您的操作系统、浏览器和安全实用程序更新。 有时,勒索软件是利用软件漏洞分发的。 恶意软件编写者一直在寻找可利用的新浏览器和操作系统漏洞。 反过来,软件编写者会发布补丁和更新以消除已知漏洞并降低恶意软件渗透的机会。 防病毒程序的签名数据库每天都会更新,甚至更频繁地包含新的病毒签名。
- 调整浏览器的设置以阻止弹出窗口,不要自动加载插件,不要未经询问就下载文件。
- 下载并使用 Adblock、Adblock Plus、uBlock 或类似的可信赖扩展程序之一来阻止网站上的第三方广告。
- 不要只是点击浏览网页时看到的任何链接。 这尤其适用于评论、论坛或即时通讯工具中的链接。 通常这些是垃圾邮件链接。 有时,它们用于增加站点的流量,但通常情况下,它们会让您进入恶意页面,这些页面将尝试执行恶意代码并感染您的计算机。
- 不要从未经验证的网站下载软件。 您可以轻松下载特洛伊木马(一个程序,它不是伪装的,而是恶意软件)。 或者一些不需要的程序可能会与应用程序一起安装。