Кража вымогателей

 Кража вирус-вымогатель является проблемой в Dharma  (CrySiS). После установки он шифрует файлы на локальных дисках и в сетевых папках, добавляет расширение «.theft» к именам файлов (вместе с уникальным идентификатором жертвы и адресом электронной почты злоумышленника) и требует оплаты за расшифровку. Он также угрожает утечкой конфиденциальных данных, украденных у жертвы.

Обычно он не отключает критически важные системные файлы. Вместо этого он блокирует пользовательские данные и блокирует возможности восстановления, что делает ручное восстановление файлов практически невозможным.

---

Краткий обзор угроз: кража вирусов-вымогателей

Характеристика	Описание
Тип угрозы	Вредоносное ПО для шифрования файлов, криптоблокировщики и программы-вымогатели
Зашифрованное расширение файла	.theft, плюс идентификатор жертвы и адрес электронной почты злоумышленника в имени файла
Имя(-ена) файла записки о выкупе	Всплывающее сообщение и info.txt
Контактный адрес электронной почты	datatheft@tuta.io, datatheft@cyberfear.com
Имена обнаружений	Win32:MalwareX-gen, Filecoder.Crysis.P, Вадхрама!пз, и другие
симптомы	Переименованные/зашифрованные файлы, сообщения с требованием выкупа, возможные угрозы кражи данных
Ущерб и распространение	Шифрование данных, потенциальные утечки, фишинг, взломанное ПО, RDP
Уровень опасности	Высокий

---

Как я заразился вирусом-вымогателем?

• Фишинговые письма с вредоносными вложениями или встроенными ссылками
• RDP-атаки методом подбора пароля использование слабых или украденных учетных данных
• Поддельные установщики и взломанное ПО, часто в комплекте с вредоносным ПО
• Вредоносные сайты, торренты и попутные загрузки

Даже один неосторожный щелчок по вредоносной ссылке или вложению с макросом может инициировать атаку.

---

Что делает вирус-вымогатель с вашими файлами

• Шифрует распространенные типы файлов на локальных и сетевых дисках.
• Переименовывает файлы следующим образом: photo.jpg → photo.jpg.id-[ID].[datatheft@tuta.io].theft
• Капли info.txt записки о выкупе во всех затронутых папках
• Отображает всплывающее сообщение с требованием выкупа и инструкциями по вымогательству
• Удаляет теневые копии томов, чтобы заблокировать точки восстановления системы.
• Добавляет себя в автозапуск, чтобы обеспечить запуск при загрузке

Угроза утечка данных усиливает психологическое давление при требовании выкупа.

---

Стоит ли беспокоиться о краже данных с помощью программ-вымогателей?

Безусловно. Theft Ransomware принадлежит к печально известному семейству вредоносных программ, давно известных своей безвозвратной блокировкой данных. Что делает Theft особенно опасным:

• Угрозы утечки данных: Помимо шифрования, злоумышленники утверждают, что украли файлы.
• Нет известного бесплатного дешифратора: Без резервного копирования у вас может не быть возможности восстановить файлы.
• Ненадежные злоумышленники: Уплата выкупа не гарантирует, что вы получите свои файлы обратно.

Для предприятий это может привести к проблемам с соблюдением требований и возможным судебным искам в зависимости от затронутых данных.

---

Записка с требованием выкупа, сброшенная вирусом-вымогателем

Записка с требованием выкупа обычно включает в себя:

• Утверждение, что все ваши файлы зашифрованы
• Инструкции по контакту datatheft@tuta.io, с резервным адресом электронной почты datatheft@cyberfear.com
• Предложение бесплатно расшифровать 1–3 небольших файла в качестве доказательства
• Угрозы утечки данных, если вы не ответите
• Предупреждение: не переименовывайте файлы и не используйте сторонние инструменты дешифрования.

Злоумышленники пытаются казаться полезными, но их конечной целью всегда является получение выкупа.

---

Руководство по ручному удалению программ-вымогателей

Внимание! Ручное удаление сложное и рискованное. Если сделать это неправильно, это может привести к потере данных или неполному удалению программы-вымогателя. Используйте этот метод только если вы продвинутый пользователь. Если не уверены, продолжайте Метод 2 (Руководство по удалению SpyHunter).

Шаг 1. Отключитесь от Интернета

1. Отсоедините кабель Ethernet. or отключить Wi-Fi немедленно прекратить дальнейшее взаимодействие с командными серверами (C2) программы-вымогателя.

Шаг 2. Загрузитесь в безопасном режиме

Для пользователей Windows:

1. Для Windows 10, 11:
   • Press Windows + R, напишите msconfigи ударил Enter.
   • Перейдите на сайт Boot меню.
   • Проверка Безопасные загрузки и Cеть.
   • Нажмите Применить и OK, затем перезагрузите компьютер.
2. Для Windows 7, 8:
   • Перезагрузите компьютер и нажмите F8 несколько раз до загрузки Windows.
   • Выберите Безопасный режим с загрузкой сетевых драйверов и нажмите Enter.

Для пользователей Mac:

1. Перезагрузите ваш Mac и немедленно нажмите и удерживайте клавишу Shift.
2. Отпустите клавишу, как только увидите логотип Apple.
3. Ваш Mac запустится через Безопасный режим.

Шаг 3: Найдите и завершите вредоносные процессы

Для пользователей Windows:

1. Press Ctrl + Shift + Esc , чтобы открыть Диспетчер задач.
2. Искать подозрительные процессы (например, неизвестные имена, высокая загрузка ЦП или случайные буквы).
3. Щелкните правой кнопкой мыши по процессу и выберите Снять задачу.

Для пользователей Mac:

1. Открыто Мониторинг системы (Finder > Приложения > Утилиты > Монитор активности).
2. Обратите внимание на необычные процессы.
3. Выберите процесс и нажмите Завершить.

Шаг 4. Удалите вредоносные файлы

Для пользователей Windows:

1. Press Windows + R, напишите %temp%и ударил Enter.
2. Удалите все файлы в папке Temp.
3. Перейдите к:
   • C:\Users\[Your Username]\AppData\Roaming
   • C:\Users\[Your Username]\AppData\Local
   • C:\Windows\System32
4. Найдите подозрительные файлы, связанные с программой-вымогателем (случайные имена файлов, недавно измененные) и удалить их.

Для пользователей Mac:

1. Открыто Finder и перейти в Перейти> Перейти в папку.
2. Тип ~/Library/Application Support и удалите подозрительные папки.
3. Перейдите в ~/Library/LaunchAgents и удалить неизвестные .plist файлы.

Шаг 5: Удалите программы-вымогатели из реестра или системных настроек

Для пользователей Windows:

Внимание! Неправильные изменения в редакторе реестра могут повредить вашу систему. Действуйте с осторожностью.

1. Press Windows + R, напишите regeditи ударил Enter.
2. Перейдите к:
   • HKEY_CURRENT_USER\Software
   • HKEY_LOCAL_MACHINE\Software
3. Ищите незнакомые папки с случайные символы or названия, связанные с программами-вымогателями.
4. Щелкните правой кнопкой мыши и выберите Удалить.

Для пользователей Mac:

1. Перейдите на Системные настройки> Пользователи и группы.
2. Нажмите на Параметры входа и удалите все подозрительные элементы автозагрузки.
3. Перейдите в ~/Library/Preferences и удалить вредоносные .plist файлы.

Шаг 6: Восстановите систему с помощью функции восстановления системы (Windows) или Time Machine (Mac)

Для пользователей Windows:

1. Press Windows + R, напишите rstruiи ударил Enter.
2. Нажмите Следующая, выберите точку восстановления до заражения и следуйте инструкциям по восстановлению системы.

Для пользователей Mac:

1. Перезагрузите Mac и удерживайте Command + R войти Утилиты macOS.
2. Выберите Восстановление из резервной копии Time Machine.
3. Выберите резервную копию, созданную до заражения программой-вымогателем, и восстановите систему.

Шаг 7: Используйте инструмент дешифрования (если доступен)

• Войти Нет Больше Ransom (www.nomoreransom.org) и проверьте, есть ли инструмент дешифрования доступен для вашего варианта программы-вымогателя.

Шаг 8: Восстановление файлов с помощью резервной копии

• Если у вас есть резервные копии на внешний диск или облачное хранилище, восстановите ваши файлы.

---

Автоматическое удаление программ-вымогателей с помощью SpyHunter

Если ручное удаление кажется слишком рискованным или сложным, используйте надежный инструмент защиты от вредоносных программ, такой как SpyHunter это лучшая альтернатива.

Шаг 1: Загрузите SpyHunter

Загрузите SpyHunter по официальной ссылке: Скачать SpyHunter

Или следуйте официальным инструкциям по установке здесь:
Инструкции по загрузке SpyHunter

Шаг 2: Установите SpyHunter

1. Откройте загруженный файл (SpyHunter-Installer.exe).
2. Для установки программы следуйте инструкциям на экране.
3. После установки запустите SpyHunter.

Шаг 3. Выполните полное сканирование системы

1. Нажмите на Начать сканирование сейчас.
2. SpyHunter будет сканирование на наличие программ-вымогателей и другие вредоносные программы.
3. Дождитесь завершения сканирования.

Шаг 4. Удалите обнаруженные угрозы

1. После сканирования SpyHunter выведет список всех обнаруженных угроз.
2. Нажмите Исправить угрозы для удаления вируса-вымогателя.

Шаг 5: Воспользуйтесь службой поддержки SpyHunter по вредоносным программам (при необходимости)

Если вы имеете дело с упрямый вариант программы-вымогателя SpyHunter's Служба поддержки по вредоносным программам приводит пользовательские исправления для устранения сложных угроз.

Шаг 6. Восстановите ваши файлы

Если ваши файлы зашифрованы:

• Попытка Нет Больше Ransom (www.nomoreransom.org) для инструментов дешифрования.
• Восстановить из облачное хранилище или внешние резервные копии.

---

Предотвращение будущих атак программ-вымогателей

• Сохраняйте резервные копии на внешний жесткий диск или облачное хранилище.
• Используйте SpyHunter для обнаружения угроз до того, как они заразят вашу систему.
• Включите Defender для Windows или доверенная антивирусная программа.
• Избегайте подозрительных писем, вложений и ссылок.
• Обновление ПО Windows, macOS и программное обеспечение регулярно.

Заключение

Вредоносное ПО — серьёзная и потенциально разрушительная угроза для файловых систем. После шифрования восстановление данных без дешифратора или надёжных резервных копий крайне маловероятно. Лучший способ — изолировать заражение, удалить вредоносное ПО с помощью надёжного сканера и восстановить данные из чистых резервных копий.

Не пытайтесь вести переговоры со злоумышленниками, если вы полностью не осознаёте риски. Сосредоточьтесь на восстановлении и укреплении своей кибербезопасности, чтобы предотвратить повторное заражение.