Il .Aesir Locky ransomware è uno dei più nuovi ceppi attivi che si crede di essere una parte della famiglia di malware Locky. Scopri di più su di esso nella nostra guida dettagliata rimozione di seguito.

.Aesir Locky ransomware Descrizione

Il .Aesir Locky ransomware è una nuova pericolosa minaccia che è ancora oggetto di un’indagine attiva. Secondo diversi esperti di sicurezza questo ceppo è parte della famiglia Locky di malware. L’analisi di sicurezza iniziale mostra che sono state aggiunte diverse caratteristiche degne di nota.

Al momento l’infezione i contatti virus un elenco hardcoded dei maligni server remoti C & C che scarica il resto del codice. Il codice malware di base non contiene il motore di crittografia da sola a ridurre le possibilità di rilevazione di anti-virus e strumenti di protezione anti-spyware. Il downloader payload recupera un file DLL che è chiamato in modo casuale e viene inserito nella directory% TEMP%. Una variante della nota taglia è inoltre collocato in un file information.cgi.

Come la precedente variante .shit questa versione di Locky utilizza file JavaScript e può anche utilizzare i file .hta durante la fase di infezione.

Dopo che il computer di destinazione è stato compromesso viene avviato il processo di crittografia. Il virus utilizza una forte crittografia AES che rende i file inaccessibili. Tutti i file compromessi vengono rinominati con l’estensione del file .aesir. Quando tutti i file di destinazione sono stati crittografati il ​​ransomware cambia lo sfondo del desktop e visualizza il seguente messaggio:

!!! IMPORTANT INFORMATION !!!

All your files are encrypted.

Decrypting of your files is only possible with the private key, which is on our secret server.
To receive your private key follow one of the links:

1. http://uk74sqtx2ynr2nzb.onion.gq/?id=
2. http://uk74sqtx2ynr2nzb.onion.nu/?id=
3. http://uk74sqtx2ynr2nzb.onion.cab/?id
4. http://uk74sqtx2ynr2nzb.onion.to/?id=

If all addresses are not available, follow these steps:

1. Download and install Tor browser: https://torproject.org/download/download-easy.html
2. After successful installation, run the browser and wait for initialization.
3. Type in the address bar:
uk74sqtx2ynr2nzb.onion/?id=

4. Follow the instructions on the site.

!!! Your personal identification ID:

Traduzione italiana:

!!! INFORMAZIONI IMPORTANTI !!!

Tutti i file sono criptati.

Decifrare dei file è possibile solo con la chiave privata, che è sul nostro server segreto.
Per ricevere la chiave privata seguire uno dei link:

1. http://uk74sqtx2ynr2nzb.onion.gq/?id=
2. http://uk74sqtx2ynr2nzb.onion.nu/?id=
3. http://uk74sqtx2ynr2nzb.onion.cab/?id
4. http://uk74sqtx2ynr2nzb.onion.to/?id=

Se tutti gli indirizzi non sono disponibili, attenersi alla seguente procedura:

1. Scaricare e installare Tor Browser: https://torproject.org/download/download-easy.html
2. Al termine dell’installazione, eseguire il browser e attendere l’inizializzazione.
3. Digitare nella barra degli indirizzi:
uk74sqtx2ynr2nzb.onion /? id =

4. Seguire le istruzioni sul sito.

!!! Il tuo ID di identificazione personale:

.Aesir Locky ransomware distribuzione

Diverse istanze del .Aesir Locky ransomware sono stati segnalati a diffondersi utilizzando il carico utile downloader Nemucod. Diverse estensioni di Google Chrome sono stati utilizzati anche come vettore di infezione – Ubo e One.

Altri mezzi per raggiungere il .Aesir Locky ransomware è attraverso campagne e-mail di spam che contengono il downloader payload infetta in un allegato .zip denominato “logs_ [random-id] .zip”. Il contenuto dei messaggi sono i seguenti:

“Dear {First Name},
We’ve been receiving spam mailout from your address recently. Contents and logging of such messages are in the attachment.
Please look into it and contact us.
Best Regards,
Edith Hancock
ISP Support Tel.: (840) 414-21-61”

Tradotto in italiano:

“Caro {} Nome,
Abbiamo ricevuto lo spam MailOut dal tuo indirizzo di recente. Contenuti e la registrazione di tali messaggi sono in allegato.
Si prega di guardare dentro e contattaci.
I migliori saluti,
Edith Hancock
ISP Support Tel .: (840) 414-21-61 “