"help_recover_instructions"

[semetes]

Mám stejný problém, systém napaden tímto virem.
a) nejsou postižena všechna data, myslíte, že je bezpečné manipulovat (např. přenést přes usb) ze zavirovaného pc jinam?
b) zaujalo mě, že virus napadl i soubory, které jsem měl v claudu, nevadí to pro ostatní zařízení?
c) je někde český návod jak se alespoň zbavit viru, když už né obnovit data?

[Reklama]

[jaro3]

Přenášet data bych asi nedoporučil..

česky jsem to překládal:
Locker Ransomware- Informační příručka a FAQ
od Lawrence Abramse , May 28, 2015 @ 09:21 AM
http://www.bleepingcomputer.com/virus-r ... ion#ransom

Info: Tady je aktivní téma- podpora Locker Ransomware ,která obsahuje diskuzi a zkušenosti různých IT konzultantů, koncových uživatelů, a společností, které byly ovlivněny touto počítačovou infekcí. Máte-li zájem dozvědět se o této infekci, nebo chcete klást otázky o tom, prosím, navštivte buď Locker Ransomware podpory téma:
http://www.bleepingcomputer.com/forums/ ... ort-topic/

Pokud jste registrovaným členem těchto stránek, můžete požádat, nebo odpovědět na otázky ,nebo se přihlásit k tématu s cílem získat informace. Chtěl bych také poděkovat Fabian Wosar, Mark Loman, Erik Loman, Nathan Scott, a White Hat Mike za jejich vstup o této infekci.

Co je Locker Ransomware?
Stručný přehled:
Locker je ransomware soubor programu šifrování, který se zaměřuje na všechny verze Windows, včetně Windows XP, Windows Vista, Windows 7 a Windows 8.
25. května o půlnoci místního času, byl Trojan.Downloaderu vydán příkaz k instalaci Lockeru na infikovaný počítač. Poté, co byl aktivován Locker, byly naskenované všechny písmena jednotek pro určité přípony souborů a zašifrovány pomocí šifrování AES. Když skončilo šifrování dat infekce , zobrazila se obrazovka s názvem Locker <číslo verze>, kde číslo verze byly náhodná čísla, jako je 1,7, 2,62, 1,91, atd.
Tato Locker obrazovka poskytuje informace o tom, jak byly soubory zašifrovány a pak požadovat .1 bitcoins pro dešifrování souborů. Pokud nechcete platit výkupné do 72 hodin, Vaše výkupné se zvýší o 1 Bitcoin.

30 květnu 2015 Locker ransomware vývojáři vydali výpis všech soukromých dešifrovací klíčů, spolu s omluvou. Tato omluva uvádí, že 2.června, pokud uživateli stále běží infekce, bude automaticky dešifrovat zašifrované soubory zdarma. Nyní, když jsou soukromé dešifrovací klíče k dispozici, Nathan Scott napsal Decrypter, který dovolí oběti dešifrovat své soubory zdarma. Více informací o tomto Decrypteru lze nalézt zde.
http://www.bleepingcomputer.com/virus-r ... #decrypter

2. června, developer slíbil,že ti, kterým stále běží zpráva o infekci ,se zobrazuje zpráva s omluvou , že jejich soubory byly dešifrovány.Zpráva zobrazená bylo:

I'm sorry about the encryption, your files are unlocked for free. Be good to the world and don't forget to smile
Je mi líto,že jste měl soubory zašifrovány , ale nyní jsou Vaše soubory odemčené zdarma. Buďte hodný na světě, a nezapomeňte se usmívat.

Přehled:
Locker ransomware se instaluje přes Trojan.Downloader, který byl již na počítači oběti. Tento Trojan.Downloader byl instalován jako služba Windows v C: \ Windows \ SysWOW64 s náhodným názvem souboru. Příklady názvy souborů jsou: solaraddtogs.exe nebo twitslabiasends.exe. 25 května o půlnoci místního času, byl příkaz odeslán na Trojan.Downloader aby nainstaloval Locker Ransomware na počítač nakaženého uživatele. Jako součást instalace Trojan.Downloaderu a Lockeru ,je další služba je nainstalována v C: \ ProgramData \ Steg \ steg.exe, která provede instalaci do složky C: \ ProgramData \ Tor. Když je tato instalace dokončena , další služba vytvoří složku se souborem s názvem C: \ ProgramData \ rkcl \ ldr.exe, a C: \ ProgramData \ rkcl \ rkcl.exe program.Rkcl.exe . Program je hlavní spouštěč pro Locker ransomware.

Poté, co byl Locker nainstalován a spuštěn , začne kontrolovat všechna datové písmena na vašem počítači pro zašifrování datových souború . Při hledávání souborů k zašifrování, Locker vyhledává pouze případy nastavení malých písmen , a jak se používá velká a malá písmena porovnání řetězců, .jpg soubory budou zašifrovány, ale ne soubory JPG. Seznam přípon zaměřeny Locker je:

3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx

Je důležité zdůraznit, že Locker bude testovat všechna písmena jednotek v počítači, včetně vyměnitelných disků, síťových připojeních , a dokonce i Dropbox mapování. Stručně řečeno, pokud je písmeno jednotky na vašem počítači, bude kontrolováno na datové soubory k zašifrování pomocí ransomware

Po dokončení skenování počítače bude také odstraněna Stínová kopie uložená na disku C:.
To způsobí , že nelze použít stínovou kopii k obnovení souború. Pokud odstraní pouze stínovou kopii na C: \ jednotce, může být možné použít program stínové kopie k obnovení souború, které byly uloženy na jiných jednotkách. V některých případech nejsou obsahy Stínové kopie řádně vymazány vůbec, a budete moci obnovit soubory z disku C: stejně.
Příkaz slouží k odstranění obsahu stínové kopie:
vssadmin.exe delete shadows /for=C: /all /quiet

Zatímco proces instalace probíhá, budou se také hledat procesy spojené se známými malware nástroji pro analýzu a zkontroluje, zda malware běží ve virtuálním stroji. Pokud se zjistí, že infekce je spuštěna ve VMware nebo VirtualBoxu ,bude sama-ukončena. Bude také sama ukončena, pokud zjistí ,že běží některý který z těchto procesů :
wireshark, fiddler, netmon, procexp, processhacker, anvir, cain, nwinvestigatorpe, uninstalltool, regshot, installwatch, inctrl5, installspy, systracer, whatchanged, trackwinstall
To dává ochranu před analýzou bezpečnostních techniků , kteří by případně mohli pomoci obětem Lockeru.
Nyní, Když byla data v počítači zašifrována, se zobrazí aplikace Lockeru.Název obrazovky bude Locker a poté číslo náhodné verze, jako je Locker 1,7 nebo Locker 2.89. Níže jsou screenshoty různých obrazovek.


Locker Informace obrazovky Pro více screenshotů této infekce klikněte na obrázek výše. Existuje celkem 4 snímků, které můžete prohlédnout.

Obrazovka Lockeru je rozdělena do čtyř částí. Ty jsou:
Informace Screen - Tato obrazovka obsahuje informace o tom, co se stalo s vašimi soubory.
Platba Screen - Tato obrazovka obsahuje své jedinečnou Bitcoin adresu a informace o tom, jak poslat platbu.
Soubory Screen - Tato obrazovka obsahuje seznam souborů, které byly zašifrovány.
Status Screen - Tato obrazovka vypíše množství souborů zašifrovaných a zkontrolovat stav platby.

S cílem zaplatit výkupné oběť potřebuje poslat 0,1 bitcoins k přidělené Bitcoin adrese.Aplikace Locker pak bude pravidelně kontaktovat blockchain.info aby zjistil, zda existuje rovnováha pro přidruženou Bitcoin adresu. Pokud blockchain.info označuje, že je správná rovnováha, bude aplikace Locker pak provede druhou kontrolu proti malware TOR velení a řízení serveru umístěného na jmslfo4unv4qqdk3.onion. Pokud se obě kontroly ukazují, že platba byla provedena, aplikace stáhne priv.key soubor a uloží jej do složky v adresáři C: \ ProgramData \ rkcl na infikovaném počítači. Tento soubor obsahuje soukromý dešifrovací klíč používaný k dešifrování souborů. Aplikace Locker pak začne dešifrovat všechny soubory.

Existují i další soubory vytvořené v adresáři C: \ ProgramData \ rkcl složka. Tyto soubory jsou popsány níže:
data.aa0 - Tento soubor obsahuje seznam šifrovaných souborů.
data.aa1 - Neznámý účel
data.aa6 Jedinečná Bitcoin adresa oběti –
data.aa7 - klíč RSA. Toto není dešifrovací klíč.
data.aa8 - Obsahuje číslo verze grafického rozhraní Locker.
data.aa9 - datum kdy se ransomware stal aktivním
data.aa11 - Neznámý účel
data.aa12 - Neznámý účel
priv.key - Tento soubor obsahuje soukromý dešifrovací klíč, který může být použit k dešifrování souborů. Zdá se až poté, co budete platit výkupné.

Co dělat, když je Váš počítač nakažený Lockerem Ransomware
Pokud jste nakaženi Lockerem , pak můžete použít Emsisoft, Malwarebytes, Hitman, nebo skoro jakýkoli jiný antivirový program k odstranění souború infekce z počítače. Nyní, když Decrypter byl uvolněn, není již nutné, aby C: \ ProgramData \ rkcl složka byla ponechána na místě.Dříve než ji odstraníme , doporučujeme zapsat a uložit si Bitcoin adresu, bude pak snazší využít bezplatnou aplikaci Decrypter.

Důležité! Přečtěte si prosím!
Pokud chcete dešifrovat vaše soubory pomocí bezplatnéaplikace Decrypter, nezapomeňte napsat a uložit Bitcoin adresu a šifrovaný seznam souborů. Tyto soubory jsou umístěny v C: \ ProgramData \ rkcl a jsou nazývány data.aa0 (šifrovaný seznam souborů) a data.aa6 (Bitcoin adresu).
Chcete-li ručně odstranit infekce, můžete odebrat složky a soubory nalezené v následujících místech:
C:\ProgramData\-
C:\ProgramData\Tor\
C:\ProgramData\rkcl
C:\ProgramData\Digger
C:\ProgramData\Steg\
C:\Windows\SysWow64\<random>.exe
C:\Windows\SysWow64\<random>.bin
C:\Windows\SysWow64\<random>.dll
C:\Windows\System32\<random>.bin

Co se stane, když 72 hodinová lhúta vyprší?

Když se nakazíte Lockerem ransomware, zobrazí se 72 hodinová lhůta odpočítávání a a zobrazí se zpráva , že musíte zaplatit výkupné, než se vyčerpá lhůta nebo bude šifrovací klíč odstraněn.Přesná zpráva, kterou uvidíte v rámci obrazovky Locker je:

The encrypted files can only be unlocked by a unique 2048-bit RSA private key that is safely stored on our server till . If the key is not obtained before that moment it will be destroyed and you will not be able to open your files ever again.
(Tyto šifrované soubory lze odemknout pouze pomocí jedinečného 2048-bitový RSA soukromého klíče, který je bezpečně uložen na našem serveru až do skončení lhůty. Není-li klíč vydán před tímto okamžikem ,bude zničen, a vy nebudete moci nikdy obnovit svoje soubory.

Tato zpráva se zobrazí ,aby Vás vyděsila a vehnala do nákupu klíče ,aby Váš dešifrovací klíč nebyl odstraněn. Jinak se částka výkupného zvýší na 1 bitcoins a budete mít stále možnost zaplatit výkupné. Malware Vývojáři to považují za podnikání, a to není dobrý obchod, aby Vaše peníze ztratily ze stolu odstraněním vašeho šifrovacího klíče.

Jak se můžete nakazit Lockerem Ransomware?
V této době jediný známý vektor pro tento ransomware je Trojan.Downloader, který je nainstalován přes cracklou verzi Minecraft. Někteří lidé říkali, že tomu tak není, že nikdy neměli Minecraft nainstalován na svém počítači, existují s největší pravděpodobností další vektory, které jsou neznámé v tomto čase. Známé Minecraft související trojské koně, jsou:
MinecraftChecksumValidatorLower.exe
MD5 87c4cff97cafa6c78b7b41c9033c8bc2
SHA-1 55b3db2dbb0502fa5a85330ec5ffb3b9e18846cf
SHA-256 8ff8631c54a4a38d2d433b15fcca48ec242ddd426183d2b6f3f40cca304ccb9a

a:
MinecraftChecksumValidator.exe
MD5 dbd136e27b9fdfc1e656ef2e2d96dd30
SHA-1 bba94a12497703627093d2b2f5572f39d9962d0c
SHA-256 c8b31a92d2ab8bb163cfb66b7d461acd7941c5c17314220ecdee6abdcd005a8e

Je možné, že tato infekce je také instalována pomocí exploit kitů, které používají bezpečnostní zranitelnosti v nejistých programech nainstalovaných na vašem počítači. Proto je nezbytné, aby každý udržoval windows a jejich nainstalované programy aktualizované, takže mají nejnovější bezpečnostní záplaty. Můžete použít tyto výukové programy pro více informací o udržení aktualizaci systému Windows a instalovaných programů :
How to update Windows
http://www.bleepingcomputer.com/tutoria ... e-windows/
How to detect vulnerable and outdated programs using Secunia Personal Software Inspector (PSI)
http://www.bleepingcomputer.com/tutoria ... cunia-psi/

Místa zašifrována Lockerem
Locker ransomware zašifruje datové soubory nalezené na místní jednotce nebo na namapované síťové jednotce. Bude pouze šifrovat soubory na sdílené síti , pokud jsou mapovány jako písmena jednotky v infikovaném počítači. Pokud není mapováno jako písmeno jednotky, pak Locker nebude šifrovat všechny soubory v síti sdílené složce UNC.

Ještě je naznačeno , že Vám zabezpečí všechny otevřené sdílené í pouze umožní zapisovatelné přístupy k nezbytným skupinám uživatelů nebo ověřeným uživatelúm. Jedná se o důležitý bezpečnostní princip, který by měl být použit v každém okamžiku, bez ohledu na infekce, jako jsou tyto.

Umožní zaplacení výkupného skutečně dešifrovat vaše soubory?

Poznámka: Decrypter byl uvolněn zcela zdarma. Níže uvedené informace jsou pouze pro historické účely, a neměli byste platit výkupné.

Za prvé a především, jen zaplatit výkupné, pokud nemáte absolutně žádný výběr. Zaplacením výkupného jste právě povzbudil vývojáře malwaru k pokračování v provádění Ransomware jako je Locker.Je pochopitelné , že někdy prostě nemají na výběr a musí zaplatit výkupné aby dostali své soubory zpět.

Pokud budete platit výkupné ,pak Locker bude dešifrovat vaše soubory. Když budete platit výkupné, aplikace Locker stáhne svůj soukromý dešifrovací klíč a uloží jej do C: \ ProgramData \ rkcl \ priv.key soubor. Jakmile je soubor klíč je vyroben, začne dešifrování souborů na vašem počítači.

[jaro3]

Jak obnovit soubory zašifrované pomocí Locker ransomware
Nyní, když byly uvolněny soukromé dešifrovací klíče, můžete dešifrovat vaše soubory zdarma pomocí Locker Unlocker Nathan Scott. Více informací lze nalézt v této sekci:

Jak dešifrovat soubory pomocí Locker Unlocker
http://www.bleepingcomputer.com/virus-r ... on#decrypt
Jako malware developer vydala soukromé dešifrovací klíče, můžete dešifrovat vaše soubory zdarma pomocí Locker Unlocker Nathan Scott. Chcete-li začít, stáhněte Locker Unlocker z následujícího odkazu.
https://easysyncbackup.com/Downloads/LockerUnlocker.exe

Jakmile je program stažen, poklepejte na ikonu LockerUnlocker pro spuštění programu. Poté, co začal uvidíte obrazovku podobnou ten dole:



Na obrazovce nahoře, pokud znáte Vaší Bitcoin adresu ,zadejte ji do pole na pravé straně. V opačném případě, pokud neznáte Bitcoin adresu, která byla přiřazena Vám podle Locker ransomware, musíte kliknout na volbu Brute BTC a přejděte do šifrovaného souboru. Locker Unlocker se pak pokusí, aby odpovídaly všechny známé soukromý dešifrovací klíče proti vašemu vybranému souboru, a když je nalezena shoda, bude automaticky přidána Bitcoin adresa do pole na pravé straně.
Jakmile je Bitcoin adresa zadána do pole, ať už proto, že jste ji znal, nebo volbou , Brute BTC , klepněte na tlačítko Generate (Generovat) k vytvoření souboru Vašeho soukromého klíče, a poté klikněte na tlačítko Next. Nyní se na obrazovce zobrazí dotaz , zda chcete použít dešifrovací seznam nebo adresář metody dešifrování , které jsou popsány níže.

Dešifrovací seznam (preferovaný způsob):
Ten je navržen tak, že se bude používat dešifrovací seznam šifrovaných souborů, který byl vytvořen pomocí ransomware. Chcete-li používat tuto funkci, klikněte na tlačítko List Decryption a pak vyhledejte tento soubor :
C:\ProgramData\rkcl\data.aa0
Jakmile jste si vybrali svůj šifrovaný seznam souborů, klepněte na tlačítko Start a Locker Unlocker začne dešifrovat soubory.

Adresář Dešifrování:
Chcete-li zkopírovat všechny šifrované soubory do určitého adresáře a dešifrování tohoto adresáře, pak byste měli zvolit volbu Directory Decryption. Jakmile si vyberete tuto možnost, budete vyzváni k výběru adresáře, který chcete dešifrovat, a pak klikněte na tlačítko Start. Je třeba poznamenat, že každý soubor v tomto adresáři bude dešifrován, i v případě, že soubor není šifrován. Pokud máte soubory, které nejsou zašifrovány v této složce, pak se stanou nepoužitelnými!!

Rozšířené možnosti:
Obě metody , seznam dešifrování a adresář dešifrování mají dvě možnosti, které můžete použít:
Create Log on Desktop (Vytvořte log na ploše) - Tato možnost vytvoří protokol na ploše kde je popsáno, jaké soubory byly dešifrovány.
Remove Encrypted Files (Odstranit šifrované soubory) - Tato volba odstraní zašifrovaný soubor, když je dešifrován. Tato volba není doporučena, pokud nevíte jistě, že dešifrování pracuje správně.

Pokud by Locker Unlock nefungoval, pak budete muset použít jednu z následujících jiných metod:
Metoda 1: Zálohování
První a nejlepší způsob je obnovit data z poslední zálohy. Pokud jste prováděli zálohování, pak byste měli použít zálohy k obnovení dat.

Metoda 2: obnovení souborů pomocí softwaru
Když Locker ransomware zašifruje soubor, nejprve vytvoří kopii, šifruje kopii, a pak odstraní původní. Díky tomu můžete použít software pro obnovu souborů, jako například R-Studio nebo PhotoRec ,aby případně obnovil některé z vašich původních souborů. Je důležité si uvědomit, že čím více budete používat počítač pro soubory které jsou zašifrovány , tím těžší to bude pro programy obnovy souborů obnovit smazané nezašifrované soubory.

Metoda 3: Stínová kopie svazku
Jako poslední možnost je ,že se můžete pokusit obnovit své soubory přes stínové kopie svazku. Bohužel, tato infekce se pokusí odstranit všechny stínové kopie svazku na vašem počítači, ale někdy to neučiní, a můžete je použít k obnovení souborů. Pro více informací o tom, jak obnovit své soubory přes stínovými Svazek kopie, viz odkaz níže:
Jak obnovit soubory zašifrované pomocí Locker pomocí stínové kopie svazku (níže)

Metoda 4: Obnovení složky Dropbox
Pokud jste si váš účet Dropbox mapovány jako písmeno jednotky, pak je možné, že její obsah se zašifrována Locker. Pokud je to váš případ, můžete použít na odkaz níže se dozvíte, jak obnovit své soubory. Jak obnovit soubory, které byly zašifrovány na Dropbox složky (níže)

Jak obnovit soubory ,zašifrované pomocí Lockeru ,pomocí stínové kopie svazku
Když budete mít obnovení systému v počítači povoleno, vytvoří systém Windows snímky Stínová kopie, které obsahují kopie souborů od okamžiku, kdy bylo obnovení systému vytvořeno. Tyto snímky nám mohou umožní obnovit předchozí verzi našich souborů před tím, než byly zašifrovány. Tato metoda není hloupá, protože i když tyto soubory nemusí být šifrovány , i oni nemusí být nejnovějšími verzemi souborů. Vezměte prosím na vědomí, že stínové kopie svazku jsou k dispozici pouze se systémem Windows XP Service Pack 2, Windows Vista, Windows 7, a Windows 8.
Poznámka:
Locker ransomware se pokusí odstranit stínové kopie na vašem disku C: je-li nainstalována infekce. Naštěstí, infekce není vždy schopna odstranit stínové kopie z jiných disků a z nich můžete obnovit soubory. Proto byste se měli vždy snažit obnovit své soubory pomocí této metody.

V této části nabízíme dvě metody, které můžete použít k obnovení souborů a složek ze stínové kopie svazku. První metoda je použít nativní funkce systému Windows a druhá metoda je použít program s názvem Shadow Explorer.. Není na škodu vyzkoušet oba a zjistit, která metoda funguje pro Vás lépe.

Používání nativních Windows Předchozí verze:
Chcete-li obnovit jednotlivé soubory ,můžete klepnout pravým tlačítkem na soubor, přejděte do Vlastnosti a vyberte kartu Předchozí verze. Tato karta bude seznam všech kopií souboru, které byly uloženy ve stínové kopií a datum, kdy byl zálohován, jak je znázorněno na obrázku níže.

Chcete-li obnovit určitou verzi souboru, jednoduše klikněte na tlačítko Kopírovat a potom vyberte adresář, ve kterém chcete obnovit soubor. Pokud chcete obnovit vybraný soubor a nahradit ten stávající, klikněte na tlačítko Obnovit. Chcete-li zobrazit obsah aktuálního souboru, můžete kliknout na tlačítko Otevřít a uvidět obsah souboru, než si jej obnovíte.
Stejný postup může být použit k obnovení celé složky. Jednoduše klikněte pravým tlačítkem myši na složku a vyberte Vlastnosti a pak kartu předchozí verze . Ty pak budou prezentovány s podobnou obrazovkou jako nad místem, kde si můžete buď zkopírovat vybranou zálohu složky do nového umístění nebo obnovit přes existující složky.

Užití Shadow Explorer:
Můžete také použít program s názvem ShadowsExplorer:
http://www.shadowexplorer.com/downloads.html
k obnovení celých složek najednou. Při stahování programu, můžete stáhnout buď plnou instalaci nebo přenosnou verzi, obě plní stejnou funkci. Při spuštění programu, se zobrazí obrazovka se seznamem všech jednotek a datum, kdy byla stínová kopie vytvořena. Vyberte jednotku (modrá šipka) a datum (červená šipka), z které si přejete obnovit . To je znázorněno na obrázku níže.

Chcete-li obnovit celou složku, klepněte pravým tlačítkem myši na název složky a vyberte položku Exportovat. Budete pak vyzváni, kam chcete obnovit obsah složky .

[jaro3]

Jak obnovit soubory, které byly zašifrovány na složkách Dropbox
Pokud jste Dropbox namapovali na písmeno jednotky v infikovaném počítači nebo synchronizovali do složky, pokusí se Locker šifrovat soubory na něm. Dropbox nabízí bezplatnou verzí na všechny své účty, které vám umožní obnovit zašifrované soubory prostřednictvím svých webových stránek. Bohužel, znovuzískání proces nabízené Dropbox umožňuje pouze obnovit jeden soubor v jeden čas, spíše než celé složky. Pokud potřebujete pokyny k obnovení celých složek v Dropboxu, klikněte prosím zde.

Chcete-li obnovit soubor, jednoduše se přihlášte na webových stránkách Dropboxu a přejděte do složky, která obsahuje šifrované soubory, které chcete obnovit. Jakmile jste ve složce, klikněte pravým tlačítkem myši na zašifrovaný soubor a vyberte předchozí verze, jak je znázorněno na obrázku níže.

Když kliknete na předchozí verze , budou Vám budou prezentovány s obrazovkou, která zobrazuje všechny verze zašifrovaný soubor.

Vyberte verzi souboru, který chcete obnovit a klepněte na tlačítko Restore -obnovit tento soubor. Bohužel proces jak je uvedeno výše ,může být velmi časově náročný, pokud existuje mnoho složek, které chcete obnovit. Aby bylo možné obnovit celou složku šifrovaných souborů, můžete použít dropbox-obnovit python skript umístěn zde.
https://github.com/clark800/dropbox-restore
Vezměte prosím na vědomí, že tento scénář vyžaduje Python, který musí být nainstalován na šifrovaném počítači aby šel spustit skript. Pokyny, jak používat tento skript lze nalézt v souboru README.md pro tento projekt.:
https://github.com/clark800/dropbox-res ... /README.md

Jak chránit váš počítač před nákazou Lockeru
Existuje několik metod a nástrojů, které doporučujeme s cílem chránit váš počítač před Ransomware infekcemi. Dvě z metod jsou CryptoMonitor a HitmanPro: Alert programy a třetí je využít zásady omezení softwaru, takže programy nelze spustit z určitých míst.
Zveřejnění: BleepingComputer.com nemá provizi z prodeje CryptoPrevent a HitmanPro: Alert, ale ne z CryptoMonitor.

CryptoMonitor:
CryptoMonitor je vysoce doporučovaný program, který je určen k detekci, když se ransomware snaží šifrovat data a zablokovat jej dříve, než je schopen tak učinit. Osobně jsme vyzkoušeli tuto aplikaci proti CryptoWall, TeslaCrypt, Alpha Crypt, CryptoDefense, a dalších infekcí menší Ransomware a CryptoMonitor byl schopen zastavit infekci dříve, než by mohly poškodit naše data.Dobrá věc, je , že CryptoMonitor má malé rozměry, nepoužívá mnoho počítačových zdrojů, je levný, a je určen pro jednu věc; zabít Ransomware předtím, než mohou být data zašifrovány. Vezměte prosím na vědomí, že pro program, aby byl plně účinný, byste měli koupit Pro verzi, ta může blokovat Ransomware procesy. Můžete si najít více informací o CryptoMonitor na tomto odkazu: https://www.easysyncsolutions.com/crypt ... tails.html

HitmanPro: Alert:
HitmanPro: Alert je skvělý program, ale je navržen jako plně vybavený anti- exploit program a není zaměřen výhradně na Ransomware infekce. Alert poskytuje ochranu před počítačovými zranitelnosti a malwaru, který se snaží ukrást vaše data. Bohužel, protože tento program má mnohem širší zaměření je někdy třeba aktualizovat, jakmile je nový ransomware je uvolněn. HitmanPro: Alert nabízí vynikající ochranu. Můžete si najít více informací o HitmanPro: zde Alert: http://www.surfright.nl/en/alert

Zásady omezení softwaru:
Můžete použít skupiny systému Windows nebo místní Editor zásad a vytvořit zásady omezení softwaru, které blokující spustitelné soubory, když se nacházejí na specifických místech. Pro více informací o tom, jak nakonfigurovat zásady omezení softwaru, naleznete tyto články z MS: http://support.microsoft.com/kb/310791 http://technet.microsoft.com/en-us/libr ... 41(v=ws.10).aspx
Cesty k souborům, které byly použity v této nákazy a jeho kapátka jsou:
% Temp%
C: \ Windows \ SysWow 64
C: \ ProgramData
S cílem zablokovat Locker Ransomware můžete vytvořit pravidla tak, že nesmí být zahájen. Chcete-li vytvořit tyto zásady omezení softwaru, můžete buď použít CryptoPrevent nástroj nebo přidejte omezení ručně pomocí editoru zásad místního zabezpečení nebo Editor Zásady skupiny. Obě metody jsou popsány níže.

[jaro3]

Jak používat CryptoPrevent nástroje:
FoolishIT LLC byl tak laskav a vytvořil bezplatný nástroj s názvem CryptoPrevent, který automaticky přidá navrhovaná pravidla omezení softwaru uvedené výše. To je pro každého, kdo pomocí systému Windows XP SP 2 a výše, rychle přidat zásady omezení softwaru do počítače, aby se zabránilo Lockeru ,provádění je velmi snadné. Tento nástroj je také schopen nastavit tyto omezení ve všech verzích Windows, včetně vnitřní verze.

Novinkou CryptoPrevent je možnost whitelist všech stávajících programů v % AppData% nebo% LOCALAPPDATA%. To je užitečná funkce, ujistěte se, že omezení, která jsou zavedeny, nemají vliv na legitimní aplikace, které jsou již nainstalovány v počítači. Chcete-li použít tuto funkci, ujistěte se, zda možnost označenou whitelistu EXE již umístěné v% AppData% /% LOCALAPPDATA% před stisknutím tlačítka Block.
Zde si můžete stáhnout CryptoPrevent z následující stránce: http://www.foolishit.com/download/cryptoprevent/
Pro více informací o tom, jak používat nástroje, naleznete na této stránce: http://www.foolishit.com/vb6-projects/cryptoprevent/

Tip: Můžete použít CryptoPrevent zdarma, ale pokud chcete koupit prémiovou verzi ,
https://www.foolishit.com/cryptoprevent ... d=Bleeping
můžete použít kód kupónu bleeping30off a získat 30% slevu.Premium verze obsahuje automatické a tiché aktualizace ,aplikace a definici na pravidelném rozvrhu, e-mailová upozornění, když zablokuje aplikace, a zvyk dovolit a blokovat i doladit vaši ochranu.

Jakmile spustíte program, jednoduše klikněte na tlačítko Apply a přidat výchozí Zásady omezení softwaru do počítače. Chcete-li přizpůsobit nastavení, pak prosím zkontrolujte políčka a měnit je podle potřeby. Pokud CryptoPrevent způsobí problémy běhu legitimní aplikace, pak naleznete v této části o tom, jak povolit specifické aplikace. Můžete také odstranit zásady omezení softwaru, které byly přidány po kliknutí na tlačítko Undo (Zpět).

Jak ručně vytvořit zásady omezení softwaru k zablokování Lockeru:
Aby bylo možné ručně vytvořit zásady omezení softwaru ,musíte používat systém Windows Professional nebo Windows Server. Chcete-li nastavit tyto zásady pro konkrétní počítač, můžete použít editor zásad místního zabezpečení. Pokud si přejete nastavit tyto zásady pro celou doménu, pak budete muset použít editor zásad skupiny. Bohužel, pokud jste uživatel systému Windows Home , editor lokálních omezeních není k dispozici, a měli byste místo toho použít CryptoPrevent -nástroj k nastavení těchto omezení. Chcete-li otevřít editor Místní zásady zabezpečení, klepněte na tlačítko Start a zadejte Místní zásady zabezpečení a vyberte výsledek hledání, který se objeví. Můžete otevřít editor zásad skupiny zadáním zásad skupiny místo. V této příručce budeme používat Editor místních zásad zabezpečení v našich příkladech.
Po otevření editoru zásad místního zabezpečení, uvidíte obrazovku podobnou ten dole.

Jakmile je výše uvedená obrazovka je otevřena, rozbalte položku Nastavení zabezpečení a potom klepněte na tlačítko na sekci Software zásady omezení. Pokud nechcete zobrazit položky v pravém podokně, jak je uvedeno výše, budete muset přidat novou politiku. Za tímto účelem klikněte na tlačítko Akce a vyberte Nový Software Zásady omezení. To pak umožní zásady a v pravém podokně se zobrazí jako na obrázku výše. Klikněte na kategorii další pravidla a potom klepněte pravým tlačítkem myši v pravém podokně a vyberte Nové Pravidlo .... Měli byste pak přidat pravidlo pro každou z níže uvedených položek. Pokud by Zásady omezení softwaru mohly způsobit problémy při pokusu o spuštění legitimní aplikace, měli byste se podívat v této sekci, jak povolit specifické aplikace. Níže je uvedeno několik pravidel, která jsou navrhované použít nejen k blokování infekce z běhu, ale také blokovat přílohy při otevření v e-mailovém klientu.

Block Locker spustitelný v% AppData%
Cesta:.% AppData% \ * exe Úroveň zabezpečení: Nepovolená Popis: Nedovolte, aby byly spustitelné soubory z % AppData%.

Block Locker spustitelný v% ProgramData%
Cesta:.% ProgramData% \ * exe Úroveň zabezpečení: Nepovolená Popis: Nedovolte, aby byly spustitelné soubory z % ProgramData%.

Block Locker spustitelný v% LOCALAPPDATA%
Cesta, pokud používáte systém Windows XP:.% USERPROFILE% \ Local Settings \ * exe
Cesta pokud používáte Windows Vista / 7/8:.% LOCALAPPDATA% \ * exe Úroveň zabezpečení: Nepovolená Popis: Nedovolte, aby byly spustitelné soubory z % AppData

Blokovat spustitelné soubory spustit z archivních příloh otevřel s WinRAR:
Cesta, pokud používáte systém Windows XP:.% USERPROFILE% \ Local Settings \ Temp \ Rar * \ * exe
Cesta pokud používáte Windows Vista / 7/8:.% LOCALAPPDATA% \ Temp \ Rar * \ * exe Úroveň zabezpečení: Nepovolená Popis: Block spustitelný běží z archivních příloh otevřené WinRARem.

Blokovat spustitelné soubory spustit z archivních příloh otevřel s 7zip:
Cesta, pokud používáte systém Windows XP:.% USERPROFILE% \ Local Settings \ Temp \ 7z * \ * exe
Cesta pokud používáte Windows Vista / 7/8:.% LOCALAPPDATA% \ Temp \ 7z * \ * exe Úroveň zabezpečení: Nepovolená Popis: Block spustitelný běží z archivních příloh otevřením s 7zip.

Blokovat spustitelné soubory spustit z archivních příloh otevřel s WinZip:
Cesta, pokud používáte systém Windows XP:.% USERPROFILE% \ Local Settings \ Temp \ wz * \ * exe
Cesta pokud používáte Windows Vista / 7/8:.% LOCALAPPDATA% \ Temp \ wz * \ * exe Úroveň zabezpečení: Nepovolená Popis: Block spustitelný běží z archivních příloh otevřením s WinZip.

Blokovat spustitelné soubory spustit z archivních příloh otevřít pomocí Windows vestavěné podpory Zip:
Cesta, pokud používáte systém Windows XP:..% USERPROFILE% \ Local Settings \ Temp \ * zip \ * exe
Cesta pokud používáte Windows Vista / 7/8:..% LOCALAPPDATA% \ Temp \ * zip \ * exe Úroveň zabezpečení: Nepovolená Popis: Block spustitelný běží z archivních příloh otevřít pomocí Windows vestavěné podpoře Zip.
Můžete vidět položky protokolu událostí a upozornění ukazující spustitelný blokovány:


Jak povolit specifické aplikace spouštět při používání Software Zásady omezení pokud používáte Software zásady omezení, nebo CryptoPrevent, blokovat Locker, možná zjistíte, že některé legitimní aplikace již nelze spustit. Důvodem je, že některé společnosti mylně instalují své aplikace na základě profilu uživatele, spíše než ve složce Program Files, kam patří. Vzhledem k tomu, bude zabráněno podle Zásady omezení softwaru těmto aplikacím spuštění.
Naštěstí, Microsoft navrhl Zásady omezení softwaru, které udělal pravidlo, který určuje , že program se nemá spustit, přepíše pravidlo, které ji může blokovat. Proto, pokud Software omezení blokuje legitimní program, budete muset použít ruční kroky uvedené výše a přidat pravidlo, která umožňí program spustit. K tomu budete muset vytvořit pravidlo pro spustitelný soubor určitého programu a nastavit úroveň zabezpečení na neomezeno, místo nepovoleno, jak je znázorněno na obrázku níže.

Jakmile přidáte tyto neomezené pravidla, bude umožněno tyto specifikované žádosti znovu spustit.
Klasifikace Ohrožení: Informace o Ransomware programy
http://www.bleepingcomputer.com/virus-r ... ransomware
Podrobné informace: Prohlédněte si Locker Ransomware soubory.
http://www.bleepingcomputer.com/virus-r ... tion#files
Zobrazit Locker Ransomware informace z registru.
http://www.bleepingcomputer.com/virus-r ... ation#keys
Aktualizace článku: 05/28/15 - Počáteční tvorba průvodce 06.02.15 - Aktualizováno zahrnovat informace o dešifrování programu Locker Unlocker.

[jaro3]

Zobrazit související Locker Ransomware soubory
C:\ProgramData\-
C:\ProgramData\Digger\
C:\ProgramData\Tor\
C:\ProgramData\Steg\steg.exe
C:\ProgramData\rkcl\ldr.exe
C:\ProgramData\rkcl\rkcl.exe
C:\ProgramData\rkcl\data.aa0
C:\ProgramData\rkcl\data.aa1
C:\ProgramData\rkcl\data.aa6
C:\ProgramData\rkcl\data.aa7
C:\ProgramData\rkcl\data.aa8
C:\ProgramData\rkcl\data.aa9
C:\ProgramData\rkcl\data.aa11
C:\ProgramData\rkcl\data.aa12
C:\ProgramData\rkcl\priv.key
C:\Users\User\AppData\Local\Temp\dd_svo_decompression_log.txt
C:\Users\User\AppData\Local\Temp\Microsoft .NET Framework 4 Setup_20150527_215736110.html
C:\Users\User\AppData\Local\Temp\svo
C:\Users\User\AppData\Local\Temp\svo.1
C:\Users\User\AppData\Local\Temp\svo.2
C:\Users\User\AppData\Local\Temp\svo.3
C:\Users\User\AppData\Local\Temp\svo.4
C:\Windows\SysWOW64\<random>.exe
C:\Windows\SysWOW64\<random>.dll
C:\Windows\SysWOW64\<random>.bin
C:\Windows\System32\InstallUtil.InstallLog
C:\Windows\System32\<random>.bin

Informace View Associated Locker Ransomware Windows Registry
HKLM\SOFTWARE\Classes\HKEY_CLASSES_ROOT
HKLM\SOFTWARE\Classes\HKEY_CLASSES_ROOT\CLSID
HKLM\SOFTWARE\Classes\HKEY_CLASSES_ROOT\CLSID\{e1b9f27e-0ff0-b171-e8b9-61828f8a2cef}
HKLM\SOFTWARE\Classes\HKEY_CLASSES_ROOT\CLSID\{e1b9f27e-0ff0-b171-e8b9-61828f8a2cef}\ <random>
HKLM\SOFTWARE\Classes\HKEY_CLASSES_ROOT\CLSID\{e1b9f27e-0ff0-b171-e8b9-61828f8a2cef}\InprocServer32
HKLM\SOFTWARE\Classes\HKEY_CLASSES_ROOT\CLSID\{e1b9f27e-0ff0-b171-e8b9-61828f8a2cef}\InprocServer32\ C:\Windows\System32\<random>.dll
HKLM\SYSTEM\CurrentControlSet\services\<random>
HKLM\SYSTEM\CurrentControlSet\services\<random>\Type 16
HKLM\SYSTEM\CurrentControlSet\services\<random>\Start 2
HKLM\SYSTEM\CurrentControlSet\services\<random>\ErrorControl 1
HKLM\SYSTEM\CurrentControlSet\services\<random>\ImagePath "C:\Windows\SysWOW64\<random>.exe"
HKLM\SYSTEM\CurrentControlSet\services\<random>\DisplayName <random words>
HKLM\SYSTEM\CurrentControlSet\services\<random>\ObjectName LocalSystem
HKLM\SYSTEM\CurrentControlSet\services\<random>\Description Experience (qWave) is a networking platform for Audio Video (AV) streaming applications on IP home networks. qWave enhances AV streaming performance and reliability by ensuring network quality-of-service (QoS) for AV applications. It provides mechanisms for admission control, run time monitoring and enforcement, application feedback, and traffic prioritization.
HKLM\SYSTEM\CurrentControlSet\services\<random>\DelayedAutostart 0

Toto je příručka self-help. Použití je na vlastní nebezpečí.
BleepingComputer.com nemůže nést odpovědnost za problémy, které mohou nastat pomocí těchto informací. Pokud byste chtěli pomoci s některou z těchto oprav, můžete požádat o pomoc odstranění malware v naší virus, trojský kůň, Spyware a Malware Odstranění Záznamy fóra.
http://www.bleepingcomputer.com/forums/ ... oval-logs/
Máte-li jakékoli dotazy týkající se tohoto svépomocné příručky a pak prosím, pošlete na tyto otázky v našem Am I nakažený? Co mám dělat? a někdo vám pomůže.
http://www.bleepingcomputer.com/forums/ ... t-do-i-do/