Естественно, вымогатель не просто переименовывает ваши файлы в файлы с расширением .locky, а вначале шифрует их. Купить ключ расшифровки у мошенников можно через так называемую Dark Net по цене 0,5 до 1 биткоина.
Наиболее распространенный способ заражения:
-
Вы получаете электронное письмо, содержащее присоединенный документ (Troj/DocDl-BCF) с текстом, похожим на набор символов.
-
Документ советует вам включить макросы, «если кодирование данных неправильное».
-
Если вы включаете макросы, то выполняете код, который сохраняет вредоносное ПО на диск.
-
Сохраненный файл (Troj/Ransom-CGX) служит загрузчиком вредоносного ПО на ваш ПК.
-
Далее производится загрузка вируса-вымогателя Locky (Troj/Ransom-CGW).
Locky зашифровывает длинный список расширений, включая видео, изображения, исходный код и файлы Office. Мало того, он скремблирует wallet.dat, файл вашего бумажника с биткоинами. Locky также удаляет любые файлы Volume Snapshot Service (VSS), также известные как теневые копии, которые вы, возможно, сделали.
Стоит, увы, признать, что нет способов вернуть ваши данные, если у вас нет свежей резервной копии. И если у вас в бумажнике больше биткоинов, чем стоимость выкупа, и к тому же у вас нет резервной копии, то скорее всего вы заплатите.
Как и большое число других вирусов-вымогателей, Locky не просто шифрует ваш диск C, он шифрует любые файлы в любом каталоге на любом подсоединенном внешнем диске, включая съемные или сетевые ресурсы, независимо от того, под какой ОС они работают.
Что делать?
1. Регулярно делайте резервные копии и храните их на неподключенных устройствах.
2. Никогда не включайте макросы в документах, полученных по электронной почте.
3. Не открывайте незапрашиваемые документы, присланные по электронной почте.
4. Задумайтесь об установке средств работы с документами Microsoft Office, которые не поддерживают макросы.
