шкала интенсивности:  
  (99/100)

Вирус-вымогатель Mamba. Как удалить? (Руководство по удалению)

от Linas Kiguolis - - | Тип: Вымогательское ПО

Mamba вымогатель возвращается и целится на корпоративные сети в Бразилии и Саудовской Аравии 

Mamba ransomware lock screen

Мамба является вирусом для шифрования файлов, который появился в ноябре 2016 года, атакуя муниципальное агентство транспорта Сан-Франциско, потребовал выкуп в размере $73,000. В августе 2017 года вымогатель вернулся и атаковал несколько корпораций в Бразилии и Саудовской Аравии.

Mamba вымогатель также известен под названием HDDCryptor. Было обнаружено, что он использует аналогичную технологию шифрования диска, которая напоминает действия Petya. Тем не менее, этот новый вымогатель нацелен на шифрование данных, а не на таблицу основных файлов, так как Petya. Для этого он использует программное обеспечение DiskCryptor.

Как сообщается, вирус роняет 152.exe или 141.exe файлы на компьютер, которые несут ответственность за выполнение процесса шифрования. После шифрования файлов жертвы, вирус перезагружает компьютер и отображает на экране загрузки следующее сообщение:

“You are Hacked ! H.D.D. Encrypted , Contact Us For Decryption Key (w889901665@yandex.com)
YOURID: [Victim’s ID]”

Жертва может ввести пароль дешифрования на экране загрузки; однако, он или она, прежде всего, должны получить его. Жертвам нужно связаться с авторами угрозы и получить информацию о том, как расшифровать данные и снова получить доступ к компьютеру. Этот вирус просит заплатить выкуп 1 BTC за 1 хост. Деньги должны быть переведены в предоставленный биткоин-кошелек.

Тем не менее, мы всегда рекомендуем пользователям НЕ оплачивать выкуп, так как он не гарантирует, что файлы будут дешифрованы. Удаление Mamba имеет первостепенное значение, и оно должно быть завершено с помощью средства защиты от вредоносных программ, например, Reimage или Malwarebytes MalwarebytesCombo Cleaner.

Mamba вымогатель запустил новые атаки в августе 2017 года 

Mamba вирус использует PSEXEC утилиту для установки и запуска вымогателя в сети. Такое же поведение мы наблюдали при работе NotPetya. Когда он компрометирует сеть, он создает папку C: \xampp\http, где устанавливает DiskCryptor компоненты. Они используются для запуска вымогателя на локальном компьютере.

Этот инструмент также генерирует уникальные пароли для каждого компьютера, подключенного к той же сети, выполнив эту команду:

C: \TEMP\721.exe longPassword /accepteula

Одной из самых проницательных особенностей вредоносного ПО является то, что оно устанавливает себя как службу Windows и скрывается под именем DefragmentationService. Оно также получает привилегии LocalSystem, поэтому Mamba получает полный контроль над компьютером.

Когда подготовительная работа завершена, и все вредоносные компоненты установлены в системе, вредоносная программа перезагружает поврежденное устройство. Затем она настраивает загрузчик на главную загрузочную запись (MBR) и запускает шифрование данных с помощью DiskCryptor.

Mamba шифрует разделы диска и показывает необычную заметку о выкупе. Киберпреступники требуют связаться с ними через один из предоставленных электронных адресов, чтобы получить ключ дешифрования:

  • mcrytp2017@yandex.com
  • citrix2234@protonmail.com

В записке с выкупом также содержится ID жертвы. Однако мы настоятельно рекомендуем не тратить время на общение с преступниками и соблюдение их требований. Вы должны автоматически удалить Mamba и восстановить файлы из резервных копий или использовать альтернативные методы восстановления.

Mamba поразил транспортную систему Сан-Франциско в ноябре 2016 года 

В конце ноября 2016 года Mamba вымогателю удалось найти свой путь к серверам муниципальной железнодорожной системы Сан-Франциско и повредить основные записи с нерушимым шифрованием. Согласно сообщениям, вирус поразил 2112 компьютеров из 8,656, блокируя систему электронной почты, систему оплаты, а также систему диспетчеризации железных дорог.

Вирус отобразил одно и то же сообщение на всех компьютерах железнодорожной сети: Вы взломаны, все данные зашифрованы, обратитесь за ключом (cryptom27@yandex.ru). Вымогателю также удалось снять дозаторы билетов.

Более того, автор Mamba паразита ответил некоторым журналистам из газеты Сан-Франциско, заявив, что он не был намерен заражать железнодорожную систему, но поскольку это уже произошло, организация должна заплатить 100 биткойнов ($73,000) чтобы получить программное обеспечение для дешифрования.

Автор называет себя Any Saolis но, очевидно, это не настоящее имя исполнителя. Более того, злоумышленник сообщил, что он получил доступ к документам частной компании и что он собирается опубликовать их в интернете, если железнодорожная компания откажется платить выкуп .

Однако компания уже восстановила систему и подтвердила, что злоумышленникам вообще не удалось получить доступ к конфиденциальным данным. Выкуп не был выплачен.

Методы распространения вирус-вымогателя

Вирус распространяется как троянский конь, поэтому пользователь может установить его, думая, что это безопасный файл. Вы можете загрузить его по электронной почте после открытия зараженного вложения электронной почты или запуска обновления вредоносного программного обеспечения.

Следовательно, настоятельно рекомендуется держаться подальше от сайтов, которые предоставляют сомнительные загрузки, или показывают всплывающие предупреждения о том, что вам необходимо срочно обновить свое программное обеспечение. Такие фиктивные обновления обычно содержат вредоносное ПО.

Кроме того, вымогатели часто распространяются с помощью наборов эксплойтов. Для предотвращения атаки вымогателя пользователям необходимо:

  • заранее защищать свои компьютеры, устанавливая программы защиты от вредоносных угроз,
  • создавать резервные копии,
  • обходить сомнительные сайты в интернете.

Инструкции устранение Mamba вымогателя

Руководство по удалению Mamba вымогателя                                                                   Чтобы удалить Mamba вирус, как мы уже говорили, настоятельно рекомендуется использовать средство для защиты от вредоносных программ, например Reimage или Malwarebytes MalwarebytesCombo Cleaner. Мы рекомендуем использовать его, потому что он запрограммирован ИТ специалистами, которые анализируют каждый вирус индивидуально и создают алгоритмы, способные обнаруживать все файлы, принадлежащие вирусам, и удалять их.

Если вы не являетесь передовым ИТ-специалистом, вы не должны пытаться удалить Mamba вручную, потому что вы рискуете удалить неправильные файлы, оставив компоненты вируса и другие нежелательные компоненты в компьютерной системе.

В настоящее время бесплатный инструмент дешифрования Mamba не найден; поэтому единственный способ восстановить файлы — копировать и вставить их на компьютер из резервных копий.

Предложение
Сделать!
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Supported versions Совместимость с OS X Supported versions
Что делать, если не удалось?
Если вам не удалось удалить вирусные повреждения с помощью Reimage, задайте вопрос в нашу службу поддержки и предоставьте как можно больше подробностей.
Для удаления ущерба, нанесенного вирусом рекомендуется Reimage Бесплатное сканирование позволит Вам проверить заражен Ваш ПК или нет. Если хотите удалить вредоносные программы, то Вам нужно купить средство для удаления вредоносного ПО - лицензионную копию Reimage.

Руководство по ручному удалению вируса Mamba:

О авторе

Linas Kiguolis
Linas Kiguolis

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Обратитесь к Linas Kiguolis
О компании Esolutions

Источник: https://www.2-spyware.com/remove-mamba-ransomware-virus.html

Руководство по удалению на другом языке