Вірус DMA Locker 4

Валерій Травень 24, 2016 1 Коментар

Вірус-шифрувальник DMA Locker 4.0 - це шкідлива програма, яка при своїй активізації шифрує всі персональні файли (наприклад фотографії та документи), використовуючи дуже сильну гібридну систему шифрування AES + RSA. На відміну від інших шифрувальників, у зашифрованих файлів розширення не змінюється, але на початку кожного з таких файлів додається мітка !DMALOCK4.0. Як і раніше, ціль вірусу DMA Locker 4.0 змусити користувачів купити програму та ключ, необхідні для розшифрування власних файлів.

вірус

Як вірус-шифрувальник DMA Locker 4.0 проникає на комп'ютер

Що таке вірус-шифрувальник DMA Locker 4.0

Вірус-шифрувальник DMA Locker 4.0 – це вже четвертий варіант із групи DMA Locker. Ця шкідлива програма вражає сучасні версії операційних систем сімейства Windows, такі як Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Цей вірус використовує гібридний режим шифрування AES + RSA, що практично унеможливлює підбір ключа для самостійного розшифрування файлів.

Під час зараження комп'ютера вірус-шифрувальник DMA Locker 4.0 використовує системний каталог %PROGRAMDATA% для зберігання власних файлів. Відразу після першого запуску він копіює себе в цю папку під назвою svchostd.exe. Для свого автоматичного запуску бреши увімкнення комп'ютера, шифрувальник створює запис в реєстрі Windows в розділі HKCU\Software\Microsoft\Windows\CurrentVersion\Run та ім'ям Windows Firewall.

Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві та хмарні сховища, для визначення файлів, які будуть зашифровані. Вірус-шифрувальник DMA Locker 4.0використовує розширення імені файлу як спосіб визначення групи файлів, які будуть зашифровані. Шифруються практично всі види файлів, включаючи такі поширені як:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3,.xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Після того як файл зашифрований його ім'я та розширення не змінюються, але в вміст файлу, в самий його початок додається префікс «! DMALOCK4.0», за яким можна ідентифікувати ім'я або версію шифрувальника. Потім вірус створює текстовий документ з ім'ям cryptinfo.txt, який містить інструкцію щодо розшифровування зашифрованих файлів.

Вірус-шифрувальник DMA Locker 4.0 активно використовує тактику залякування, даючи жертві короткий опис алгоритму шифрування та показуючи загрозливе повідомлення на робочому столі. Він намагається таким чином змусити користувача зараженого комп'ютера, не роздумуючи, сплатити викуп для спроби повернути свої файли.

Мій комп'ютер заражений вірусом-шифрувальником DMA Locker 4.0?

Визначити заражений комп'ютер чи ні вірусом DMA Locker 4.0 досить легко. Зверніть увагу, що всі ваші персональні файли, таких як документи, фотографії, музика і т.д. нормально відкриваються у відповідних програмах. Якщо, наприклад, при відкритті документа, Word повідомляє, що файл невідомого типу, то найімовірніше документ зашифрований, а комп'ютер заражений. Звичайно ж, наявність на Робочому столі повідомлення від вірусу DMA Locker 4.0 або поява на диску файлу cryptinfo.txt, є ознакою зараження.

Якщо ви підозрюєте, що відкрили лист заражений вірусом DMA Locker 4.0, але симптомів зараження поки немає, то не вимикайте та не перезавантажуйте комп'ютер. Насамперед відключіть Інтернет! Після цього виконайте кроки, описані в цій інструкції, розділ Як видалити Вірус-шифрувальник DMA Locker 4.0. Інший варіант, вимкнути комп'ютер, витягнути жорсткий диск та перевірити його на іншому комп'ютері.

Як розшифрувати файлизашифровані вірусом DMA Locker 4.0?

Як видалити вірус-шифрувальник DMA Locker 4.0?

Kaspersky Virus Removal Tool та Malwarebytes Anti-malware можуть виявляти різні типи активних вірусів-шифрувальників і легко видалять їх з комп'ютера, але вони не можуть відновити зашифровані файли.

5.1. Видалити вірус-шифрувальник DMA Locker 4.0 за допомогою Kaspersky Virus Removal Tool

Завантажте програму Kaspersky Virus Removal Tool. Після завантаження запустіть завантажений файл.

вірус

Клацніть по кнопціПочати перевірку для запуску сканування вашого комп'ютера на наявність вірусу-шифрувальника.

файлів

Дочекайтеся закінчення цього процесу та видаліть знайдених зловредів.

5.2. Видалити вірус-шифрувальник DMA Locker 4.0 за допомогою Malwarebytes Anti-malware

Завантажте програму Malwarebytes Anti-malware. Після завантаження запустіть завантажений файл.

вірус

Клацніть по кнопціДалі і дотримуйтесь вказівок програми. Після завершення встановлення ви побачите основний екран програми.

комп

Автоматично запустити процедуру оновлення програми. Коли вона закінчиться, натисніть кнопкуЗапустити перевірку. Malwarebytes Anti-malware розпочне перевірку вашого комп'ютера.

Locker

Відразу після закінчення перевірки комп'ютера програма Malwarebytes Anti-malware відкриє список знайдених компонентів вірусу-шифрувальника.

Locker

НатиснітьВидалити вибране, щоб очистити комп'ютер. Під час видалення шкідливих програм, Malwarebytes Anti-malware може вимагати перезавантаження комп'ютера для продовження процесу. Підтвердьте це, вибравши Так.

Після того, як комп'ютер запуститься знову, Malwarebytes Anti-malware автоматично продовжитьпроцес лікування.

Як відновити файли зашифровані вірусом DMA Locker 4.0?

У деяких випадках можна відновити файли зашифровані вірусом-шифрувальником. Спробуйте обидва методи.

6.1. Відновити зашифровані файли за допомогою ShadowExplorer

ShadowExplorer – це невелика утиліта, яка дозволяє відновлювати тіньові копії файлів, які створюються автоматично операційною системою Windows (7-10). Це дозволить відновити вихідний стан зашифрованих файлів.

Завантажте програму ShadowExplorer. Програма знаходиться у zip архіві. Тому клацніть по завантаженому файлу правою клавішею і виберіть Вийняти все. Потім відкрийте папку ShadowExplorerPortable.

Locker

Запустіть ShadowExplorer. Виберіть потрібний диск і дату створення тіньових копій, відповідно цифра 1 і 2 на малюнку нижче.

файлів

Клацніть правою клавішею миші за каталогом або файлом, копію якого ви хочете відновити. У меню виберіть Export.

комп

І останнє, виберіть папку, в яку буде скопійовано відновлений файл.

6.2. Відновити зашифровані файли за допомогою PhotoRec

PhotoRec це безкоштовна програма, створена для відновлення видалених та втрачених файлів. Використовуючи її, можна відновити вихідні файли, які видали віруси-шифрувальники після створення їх зашифрованих копій.

Завантажте програму PhotoRec. Програма знаходиться у архіві. Тому клацніть по завантаженому файлу правою клавішею і виберіть Вийняти все. Потім відкрийте папку testdisk.

файлів

У списку файлів знайдіть QPhotoRec_Win та запустіть її. Відкриється вікно програми, де будуть показані всі розділи доступних дисків.

вірус

У списку розділів виберіть той, наЯкі знаходяться зашифровані файли. Після цього клацніть по кнопці File Formats.

комп

За промовчанням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити лише типи файлів, які потрібно відновити. Завершивши вибір, натисніть кнопку OK.

У нижній частині вікна QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог, до якого будуть збережені відновлені файли. Бажано використовувати диск, на якому не знаходяться зашифровані файли, що потребують відновлення (можете використовувати флешку або зовнішній диск).

Натисніть кнопку Search, щоб розпочати пошук та відновлення вихідних копій зашифрованих файлів. Цей процес триває досить довго, тому наберіться терпіння.

вірус

Коли пошук буде завершено, натисніть кнопку Quit. Відкрийте папку, яку ви вибрали для збереження відновлених файлів.

комп

У папці будуть каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і т.д. Чим більше файлів знайде програма, тим більше буде каталогів. Для пошуку потрібних вам файлів послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу, серед великої кількості відновлених, використовуйте вбудовану систему пошуку Windows (за вмістом файлу), а також не забувайте про функцію сортування файлів у каталогах. Як параметр сортування можна вибрати дату зміни файлу, оскільки QPhotoRec намагається відновити цю властивість під час відновлення файлу.

Як запобігти зараженню комп'ютера вірусом-шифрувальником DMA Locker 4.0?

Більшість сучасних антивірусних програм вже мають вбудовану систему захисту від проникнення та активізації вірусів-шифрувальників. Тому якщо нана вашому комп'ютері немає антивірусної програми, то обов'язково її встановіть. Як вибрати її можете дізнатися прочитавши цю статтю.

Більше того, є й спеціалізовані захисні програми. Наприклад, це CryptoPrevent, докладніше тут (eng).

Декілька фінальних слів

Виконавши цю інструкцію, ваш комп'ютер буде очищений від вірусу-шифрувальника DMA Locker 4.0. Якщо у вас виникли запитання або вам потрібна допомога, звертайтесь на наш форум.

Сертифікований спеціаліст у галузі комп'ютерної безпеки, виявлення джерел загроз у ІТ інфраструктурі та аналізі ризиків з досвідом роботи понад 10 років.

Коментар

Ось новий паразит виліз. Прям страшно файли качати. А це CryptoPrevent є сенс ставити?

Ласкаво просимо

Потрібна допомога?

Задайте своє питання прямо зараз клікнувши за наступним посиланнямЗадати питання.

Або зверніться до нашого форуму, де команда Spyware-ru допоможе вам. Дізнайтеся, як попросити про допомогутут.