Tutoriais

Cr1ptT0r ransomware é um novo tipo de ransomware, que usa a vulnerabilidade da matriz de disco da rede para infectar os computadores do usuário. Este crypto ransomware criptografa dados no armazenamento de rede (nuvem, NAS, Network Attached Storage) usando um algoritmo de criptografia especial e, em seguida, requer um resgate de ~ 0.3 BTC para retornar arquivos. Título original Cr1ptT0r é indicado na nota de resgate e na página no site do OpenBazaar. Os desenvolvedores se autodenominam Equipe Cr1ptT0r. O BRAÇO ELF binário é usado para sistemas Linux com foco em dispositivos embarcados, mas dependendo do fabricante pode ser adaptado para Windows. O vírus cria 2 arquivos: _FILES_ENCRYPTED_README.txt e _cr1ptt0r_support.txt. A biblioteca de criptografia de sódio e o algoritmo de criptografia assimétrica "curva25519xsalsa20poli1305"(Curve25519, Salsa20, Poly1305) são usados ​​para criptografia. A chave de criptografia aberta de 256 bits está localizada no arquivo cr1ptt0r_logs.txt, que também armazena a lista de arquivos criptografados e também é adicionada ao final dos arquivos criptografados , pouco antes do marcador. Cr1ptT0r Ransomware usa o site OpenBazaar para "apoiar" os afetados e vender o decodificador. Ainda não há nenhuma ferramenta de descriptografia disponível, no entanto, usar as instruções neste artigo pode ajudá-lo a recuperar arquivos criptografados. Siga o guia abaixo para remova Cr1ptT0r Ransomware e descriptografe seus arquivos no Windows 10, 8 / 8.1, Windows 7.

Esta amostra particular de Adobe ransomware é, na verdade, uma continuação de STOP Ransomware família. Este vírus ataca arquivos, que podem ser importantes para o usuário médio, como documentos, fotos, bancos de dados, música, codifica-os com criptografia AES e adiciona .adobe (um "e" no final), .adobee (dois "e" s no final) extensões para arquivos afetados. Isso cria uma confusão, porque existem várias famílias de ransomware diferentes usando esta extensão após a criptografia. Todos esses vírus usam algoritmos diferentes, no entanto, os arquivos .adobe criptografados por STOP Ransomware podem ser decifrados usando STOPDecrypter (fornecido abaixo). Ao contrário das versões anteriores, esta fornece informações claras sobre o custo da descriptografia, que é $ 980 (ou $ 490 se for pago em 72 horas). No entanto, isso é apenas um truque, para encorajar as pessoas a pagarem o resgate. Freqüentemente, os autores do ransomware não enviam nenhum decodificador. Recomendamos que você remova os executáveis ​​do STOP Ransomware e use as ferramentas de descriptografia disponíveis para arquivos .adobe.

GandCrab v5.2 ransomware foi lançado poucas horas antes da Europol, a Polícia Romena e o Bitdefender lançarem uma ferramenta de descriptografia totalmente funcional para todas as versões anteriores de vírus, até o GandCrab v5.1 Ransomware. A versão atualizada do GandCrab adiciona .[5-6-7-8-9-10-random-letters] extensão e arquivo de nota de resgate terão este nome: [5-6-7-8-9-10-random-letters]-DECRYPT.txt e [letras-aleatórias] -DECRYPT.html. É relatado que muitas empresas de TI e provedores de serviços gerenciados foram infectados e afetados pelo GandCrab Ransomware. Algumas das versões anteriores tinham o descriptografador do BitDefender, forneceremos o link de download para esta ferramenta abaixo. Existe a possibilidade de que o programa seja atualizado para funcionar com o GandCrab v5.2 Ransomware. Enquanto isso, recomendamos que você use as funções padrão do Windows, como cópias de sombra, versões anteriores de arquivos e ponto de restauração para tentar recuperar seus arquivos. O uso de um software especial de recuperação de arquivos freqüentemente ajuda a restaurar muitos arquivos, removidos pelo usuário anteriormente e não tocados pelo vírus.

Ransomware Dharma-ETH é a nova geração de alto risco Crysis-Dharma-Cezar família de ransomware, particularmente, é Dharma variação. Foi nomeado após a extensão que anexa aos arquivos criptografados: .ETH. Na verdade, o vírus adiciona um sufixo complexo, que consiste em várias partes: endereço de e-mail, número de identificação exclusivo de 8 dígitos (completamente aleatório) e .ETH extensão. No final, os arquivos afetados recebem um sufixo complexo, que se parece com este - .id- {8-dig-id}. [{email-address}]. ETH. As notas de resgate não contêm informações sobre a quantia que os usuários precisam pagar para devolver os arquivos. Também não há informações sobre os algoritmos de criptografia usados. No entanto, pela experiência de infecções anteriores deste tipo, podemos dizer que, provavelmente, usa criptografia AES ou RSA-2048 e vai tentar enganá-lo com uma quantia de $ 500 a $ 1500, que deve ser paga em Monero, Dash ou BTC (BitCoins).

Ransomware Dharma-KARLS é uma nova ameaça virulenta de criptografia de arquivos, construída em uma plataforma bem conhecida de Crysis-Dharma-Cezar família de ransomware. Ao contrário de outras variações, esta versão adiciona .KARLS extensão para arquivos criptografados. Na verdade, Dharma-KARLS Ransomware cria um apêndice complicado, que consiste em id de usuário exclusivo, endereço de e-mail do desenvolvedor e .KARLS sufixo, do qual obteve seu nome. O modelo de modificação de nome de arquivo se parece com este: arquivo chamado 1. doc será convertido para 1.doc.id- {8-dig-id}. [{Email-address}]. KARLS. Os autores do Dharma-KARLS Ransomware podem extorquir de $ 500 a $ 5000 de resgate em BTC (BitCoins) para descriptografia. O uso de sites de pagamento hospedados em criptomoedas e TOR torna impossível rastrear o beneficiário. Além disso, as vítimas de tais vírus costumam ser enganadas e malfeitores não enviam nenhuma chave, mesmo depois de pagar o resgate. Infelizmente, a descriptografia manual ou automática é impossível, a menos que o ransomware tenha sido desenvolvido com erros ou tenha certos erros de execução, falhas ou vulnerabilidades.

Ransomware Dharma-Frend é um embranquecimento típico de Crysis-Dharma-Cezar família de vírus ransomware. Esta variação específica acrescenta .frend extensão para arquivos criptografados e os torna inutilizáveis. Dharma-Frend Ransomware não tem um descriptografador eficaz, no entanto, recomendamos que você tente as instruções abaixo para tentar restaurar seus arquivos. Dharma-Frend Ransomware adiciona sufixo, que consiste em várias partes, tais como: id único do usuário, endereço de e-mail do desenvolvedor e .frend sufixo. O padrão do nome do arquivo após a criptografia é assim: arquivo chamado 1. doc será convertido para 1.doc.id- {8-dig-id}. [{Email-address}]. Frend. Os autores do Dharma-Frend Ransomware extorquem o resgate de $ 10000 das vítimas. Usar criptomoedas e sites de pagamento hospedados pelo TOR torna impossível rastrear malfeitores. Além disso, as vítimas de tais vírus costumam ser enganadas e malfeitores não enviam nenhuma chave, mesmo depois de pagar o resgate. Infelizmente, a descriptografia manual ou automática é impossível, a menos que o ransomware tenha sido desenvolvido com erros ou tenha certos erros de execução, falhas ou vulnerabilidades. Não recomendamos pagar nenhum dinheiro a malfeitores. Freqüentemente, depois de algum tempo, especialistas em segurança de empresas de antivírus ou pesquisadores individuais decodificam os algoritmos e liberam as chaves de descriptografia.

Ransomware Dharma-Amber é quase idêntico às versões anteriores do Crysis-Dharma-Cezar família de ransomware, exceto que agora adiciona .âmbar extensão para arquivos criptografados. Dharma-Amber Ransomware constrói extensão de arquivo a partir de várias partes: endereço de e-mail, número de identificação exclusivo de 8 dígitos (gerado aleatoriamente) e .âmbar extensão. O número de identificação também é usado para identificação da vítima, quando os hackers enviam a chave de descriptografia (embora raramente o façam). Os autores do Dharma-Amber Ransomware exigem um resgate de $ 500 a $ 15000, que pode ser pago em Monero, Dash ou BTC (BitCoins), e em troca prometem enviar a chave de descriptografia. Este tipo de ransomware é codificado e distribuído como RaaS (Ransomware como serviço), e as pessoas que você está tentando contatar podem ser apenas revendedores. É por isso que a quantidade de dinheiro que eles desejam para descriptografar pode ser muito grande. O uso de criptomoedas torna impossível rastrear o beneficiário. Não recomendamos pagar nenhum dinheiro a malfeitores. Normalmente, depois de algum tempo, especialistas em segurança de empresas de antivírus ou pesquisadores individuais quebram os algoritmos e liberam as chaves de descriptografia.

STOP Ransomware é um vírus do tipo ransomware de criptografia de arquivos, que criptografa os arquivos do usuário usando o algoritmo de criptografia AES (режим CFB). DJVU Ransomware é identificado como uma variação de STOP Ransomware. Anexos de vírus .djvu, .udjvu or .djvuu extensão para arquivos criptografados, o que pode embaraçar alguns usuários, por ser um formato de arquivo popular para e-books e armazenamento de documentos digitalizados. Quando a criptografia é concluída DJVU Ransomware coloca _openme.txt arquivo de texto com o seguinte conteúdo nas pastas com arquivos afetados e na área de trabalho.