Удаление вируса Sigma (Руководство по удалению) - обновлено Янв 2021

от Julie Splinters - - | Тип: Вымогательское ПО

Sigma — вымогатель, который продолжает распространяться и шифровать файлы в 2018 году

Скриншот Sigma угрозы

Sigma — это угроза типа вымогатель, использующая RSA-2048 шифрование, и добавляющая случайное 4-символьное расширение файла к целевым данным. После шифрования данных он роняет ReadMe.html или ReadMe.txt файл, который перенаправляет на сайт оплаты выкупа. Самый распространенный способ заражения этой вредоносной программой — открыть вредоносное вложение электронной почты. Хотя эксперты по безопасности предупреждают, что в марте 2018 года была замечена новая спам-кампания, распространяющая вирус.

Описание
Имя Sigma
Тип Вымогатель
Имена обнаружения AV Trojan.Agent.CPOW, Trojan.Ransom.Shade!1.A988 (CLASSIC), Trojan.Generic.bcnxb etc.
Уровень опасности Высокий. Вымогатель изменяет важные процессы Windows, устанавливает вредоносные компоненты и шифрует файлы.
Симптомы Невозможность открыть и использовать файлы из-за неизвестного расширения файла.
Расширение файла Добавляет 4-символьное расширение файла.
Записка о выкупе ReadMe.html, ReadMe.txt
Файлы, связанные с вымогателем GUID.exe, GUID.txt, Automated Universal MultiBoot UFD Creation Tool.exe,

В настоящий момент вирус Sigma имеет низкий коэффициент обнаружения. Он распространяется под видом Automated Universal MultiBoot UFD Creation Tool.exe файла или Guid.exe.bin. Он обнаруживается как Trojan.Agent.CPOW,, Trojan.Ransom.Shade!1.A988 (CLASSIC), и т.д. Первый образец идентифицировался только одним средством безопасности, как Trojan.Generic.bcnxb. Учитывая прежнее альтернативное имя трояна и сам дизайн записки о выкупе, то можно предположить его отношение к угрозе Shade.

Кроме того, вирус также считывает технические данные компьютера, в частности RDP протоколы. Это также создает поддельный системный процесс для маскировки его деятельности. Интересно, что вредоносное ПО имеет функции анти-песочницы. Он маневрирует, чтобы избежать обнаружения. Если занятая система является естественной средой ОС, а не виртуальной машиной, вредоносное ПО подключается к http://ip.api/json.txt и отправляет данные о геолокации жертвы. Следовательно, удаление Sigma вымогателя необходимо для устранения повреждений устройства.

Однако основная задача вымогателя заключается в шифровании файлов на зараженном компьютере. Во время процесса он помещает файл ReadMe.html, который направляет пользователей на сайт онлайн-платежей. Он кратко информирует пользователей о зашифрованных данных. Он говорит им загрузить TorBrowser и войти на конкретную .onion страницу. Последняя представляет страницу под названием «Sigma вымогатель» и просит ввести GUID. Она также содержит ссылку для загрузки GUID помощника.

Фоновое изображение Sigma

После завершения шифрования вредоносное ПО также изменяет фон рабочего стола. Сообщение настоятельно призывает пользователей найти файл «Readme» или посетить указанную .onion ссылку и ввести персональный ID номер, указанный в примечании о выкупе. На рабочем столе Sigma вымогатель также оставляет GUID.exe и GUID.txt файлы.

Говоря о сайте оплаты, он состоит из нескольких страниц. Одна из них указывает точное время, когда ваши файлы были зашифрованы. Она требует 1000$ за программное обеспечения для дешифрования. Если платеж не будет переведен в течение 7 дней, сумма выкупа удвоится. На той же .onion странице жертвам предлагается создать биткоин-кошелек.

Веб-сайт оплаты Sigma

Анализ Sigma вымогателя показал, что в отличие от стандартного вымогателя это криптозащитное средство не предоставляет адреса электронной почты, а вместо этого предлагает использовать учетную запись Xamp. Он также включает ссылку на руководство по установке Pidgin. Поэтому они свяжутся с исполнителем через Sigmaxxx@jabb.im адрес.

Вместо того, чтобы соответствовать требованиям, удалите Sigma вымогателя. Вы можете сделать это с помощью ReimageIntego или Malwarebytes. Возможно, вам потребуется загрузить ваш компьютер в безопасном режиме. Дальнейшие инструкции указаны ниже. К сожалению, дешифратор для Sigma вымогателя пока недоступен. Однако вы можете попробовать альтернативные методы восстановления, которые также приведены в конце статьи.

Рисунок, иллюстрирующий Sigma вымогателяРазработчиики Sigma паразита дают 4 месяца, чтобы заплатить выкуп, после этого ключ дешифрования, как они говорят, будет удален навсегда.

Поддельные письма Craigslist были замечены в распространении Sigma вымогателя в марте 2018 года

Авторы Sigma вируса запустили новую кампанию malspam для распространения полезной нагрузки вредоносного ПО. На этот раз мошенники отправляют поддельные письма Craiglist, содержащие защищенные паролем документы Word или RTF. Конечно, эти документы включают исполняемый файл вымогателя.

Sigma вымогатель распространяется через вредоносные эмейлы

Пользователей, открывающих зараженное письмо и вводящих пароль, просят включить контент в документе. Как только это будет сделано, запуститься вредоносный скрипт VBA. Сразу после нажатия кнопки «Включить контент», RAR загружается и извлекается в папку %Temp%. Эта папка содержит файл svchost.exe, который запускает вымогателя.

Sigma загружается из документа Word

Поддельные отсканированные файлы включают исполняемый вредоносный файл

В то время как вредоносное ПО представляет собой подробные графические интерфейсы и сайты платежей, его кампания по распространению отличается от других вредоносных программ. Вредоносная программа Sigma поставляется, как «Scan_[number].doc» файл через спам вложение.

В сообщении электронной почты вкратце указывается, что получателю будет выставлен счет [сумма денег] на их личный баланс Mastercard. Чтобы избежать этого, нужно рассмотреть приложение. Оно также содержит код доступа. Однако ввод кода активирует Sigma вымогателя. Интересно, что хотя вредоносное ПО написано на английском языке, оно было обнаружено на греческих доменах.

Помимо спам-писем, пользователи должны также проявлять бдительность во время загрузки приложений. Обратите внимание на источник, из которого вы загружаете, сертифицирован ли он. Обратите внимание на этапы мастера установки, чтобы отменить выбор дополнительных и ненужных надстроек. Теперь перейдем к разделу устранения Sigma вымогателя.

Инструкции удаления Sigma вымогателя

Удаление Sigma необходимо для очистки компьютера и повторного его использования. К сожалению, устранение вирусов не помогает восстановить зашифрованные файлы. Тем не менее, вы можете попробовать стороннее программное обеспечение или использовать резервные копии, как только ваш компьютер будет чистым.

Вы можете сделать это с помощью инструмента устранения вредоносных программ, например ReimageIntego, SpyHunter 5Combo Cleaner или Malwarebytes. Если вы не можете запустить удаление Sigma вируса , выполните восстановление системы или перезагрузите компьютер в безопасном режиме. Только после устранения вредоносного ПО перейдите к восстановлению данных.

Предложение
Сделать!
Загрузить
Reimage Счастье
Гаранти-
ровано Загрузить
Intego Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Supported versions Совместимость с OS X Supported versions
Что делать, если не удалось?
Если вам не удалось удалить вирусные повреждения с помощью Reimage Intego, задайте вопрос в нашу службу поддержки и предоставьте как можно больше подробностей.
Reimage Intego имеет бесплатный ограниченный сканер. Reimage Intego предлагает дополнительную проверку при покупке полной версии. Когда бесплатный сканер обнаруживает проблемы, вы можете исправить их с помощью бесплатного ручного ремонта или вы можете приобрести полную версию для их автоматического исправления.
Reimage в средствах массовой информации
Reimage обзор | Ползьовательское соглашение | Политика конфиденциальности | Refund Policy
Другие программы
Разное программное обеспечение имеет различное назначение. Если вам не удалось исправить поврежденные файлы с помощью Reimage, попробуйте запустить SpyHunter 5.
Загрузить SpyHunter 5 Обзор »
Учебное пособие | Политика конфиденциальности | Ползьовательское соглашение | Политика возврата продукта | Uninstall Instructions
Malwarebytes
Загрузить | Обзор | Политика конфиденциальности | Ползьовательское соглашение | Политика возврата продукта
Другие программы
Разное программное обеспечение имеет различное назначение. Если вам не удалось исправить поврежденные файлы с помощью Intego, попробуйте запустить Combo Cleaner.
Загрузить Combo Cleaner Обзор »
Политика конфиденциальности | Ползьовательское соглашение | Политика возврата продукта | Uninstall Instructions

Руководство по ручному удалению вируса Sigma:

Удалите Sigma, используя Safe Mode with Networking

Выполните следующие шаги для загрузки компьютера в безопасном режиме с помощью драйверов сети:

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Networking
    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Safe Mode with Networking Выберите 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking. Выберите 'Enable Safe Mode with Networking'
  • Шаг 2: Удалить Sigma

    Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите ReimageIntego или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление Sigma.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Удалите Sigma, используя System Restore

Этот метод может помочь отключить вредоносное ПО Sigma и выполнить автоматическое удаление:

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt
    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Command Prompt Выберите 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt. Выберите 'Enable Safe Mode with Command Prompt'
  • Шаг 2: Восстановите Ваши системные файлы и настройки
    1. После появления окна Command Prompt, введите cd restore и щелкните Enter Введите 'cd restore' без кавычек и нажмите 'Enter'
    2. Теперь введите rstrui.exe и снова нажмите Enter.. Введите 'rstrui.exe' без кавычек и нажмите 'Enter'
    3. После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению Sigma. После этого нажмите Next. В появившемся окне 'System Restore' выберите 'Next' Выберите Вашу точку восстановления и щелкните 'Next'
    4. Теперь щелкните Yes для начала восстановления системы. Щелкните 'Yes' и начните восстановление системы
    После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с убедитесь, что удаление рошло успешно.

Бонус: Восстановите ваши данные

Руководство, представленное выше, должно помочь вам удалить Sigma с вашего компьютера. Для восстановления зашифрованных файлов, мы рекомендуем использовать подробную инструкцию, подготовленную экспертами по безопасности bedynet.ru.

Если ваши файлы зашифрованные Sigma, вы можете использовать несколько методов, чтобы восстановить их:

Восстановите ваши данные
Восстановите ваши данные

Программное обеспечение Data Recovery Pro может помочь восстановить файлы

Хотя это программное обеспечение предназначено для восстановления файлов после сбоя системы, оно может оказаться эффективным и в этом случае.

  • Загрузить Data Recovery Pro;
  • Следуйте шагам по Data Recovery Установите и настройте программу на вашем компьютере;
  • Запустите ее и просканируйте ваш компьютер на файлы, зашифрованные Sigma вымогателем;
  • Восстановите их.

Преимущества ShadowExplorer

Нет сведений о том, что Sigma вымогатель удаляет копии тома, поэтому это программное обеспечение может помочь вам восстановить некоторые файлы, используя указанные копии.

  • Загрузите Shadow Explorer (http://shadowexplorer.com/);
  • Следуйте настройкам Shadow Explorer, и установите это приложение на ваш компьютер;
  • Запустите программу и зайдите в меню, в верхнем левом углу, чтобы выбрать диск с вашими зашифрованными данными. Также проверьте, какие там папки ;
  • Правый щелчок на папку, которую вы хотите восстановить, и выберите “Export”. Также, вы можете выбрать куда вы хотите это восстановить.

Sigma дешифровщик

На данный момент нет бесплатного программного обеспечения для дешифрования, выпущенного для этого варианта вымогателя. Не рекомендуется использовать тот, который предлагается разработчиками вредоносного ПО, поскольку это может только облегчить будущий захват операционной системы.

Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от Sigma и других подобных приложений, используйте надежную антишпионскую программу, такую как ReimageIntego, SpyHunter 5Combo Cleaner или Malwarebytes

О авторе
Julie Splinters
Julie Splinters - Специалист по удалению вредоносных программ

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Обратитесь к Julie Splinters
О компании Esolutions

Руководство по удалению на другом языке
jp Sigma ランサムウェア・ウィルスを取り除く
fi Sigma lunnasohjelma virus-asennuksen poistaminen
es Deshaciéndonos de Sigma
pt Desinstale o vírus ransomware Sigma
pl Jak usunąć Sigma
de Entfernungsanleitung für die Sigma-Erpressersoftware
nl Kom van het Sigma-gijzelsofware-virus af
us Get rid of Sigma ransomware virus