шкала интенсивности:  
  (97/100)

Вирус-вымогатель Sigma. Как удалить? (Руководство по удалению)

от Julie Splinters - - | Тип: Вымогательское ПО

Sigma — вымогатель, который продолжает распространяться и шифровать файлы в  2018 году

The screenshot of Sigma malware

Sigma — это угроза типа вымогатель, использующая RSA-2048 шифрование, и добавляющая случайное 4-символьное расширение файла к целевым данным. После шифрования данных он роняет ReadMe.html или ReadMe.txt файл, который перенаправляет на сайт оплаты выкупа. Самый распространенный способ заражения этой вредоносной программой — открыть вредоносное вложение электронной почты. Хотя эксперты по безопасности предупреждают, что в марте 2018 года была замечена новая спам-кампания, распространяющая вирус.

Описание
Имя Sigma
Тип Вымогатель
Имена обнаружения AV Trojan.Agent.CPOW, Trojan.Ransom.Shade!1.A988 (CLASSIC), Trojan.Generic.bcnxb etc.
Уровень опасности Высокий. Вымогатель изменяет важные процессы Windows, устанавливает вредоносные компоненты и шифрует файлы.
Симптомы Невозможность открыть и использовать файлы из-за неизвестного расширения файла.
Расширение файла Добавляет 4-символьное расширение файла.
Записка о выкупе ReadMe.html, ReadMe.txt
Файлы, связанные с вымогателем GUID.exe, GUID.txt, Automated Universal MultiBoot UFD Creation Tool.exe,

В настоящий момент вирус Sigma имеет низкий коэффициент обнаружения. Он распространяется под видом Automated Universal MultiBoot UFD Creation Tool.exe файла или Guid.exe.bin. Он обнаруживается как Trojan.Agent.CPOW,, Trojan.Ransom.Shade!1.A988 (CLASSIC), и т.д. Первый образец идентифицировался только одним средством безопасности, как Trojan.Generic.bcnxb. Учитывая прежнее альтернативное имя трояна и сам дизайн записки о выкупе, то можно предположить его отношение к угрозе Shade.

Кроме того, вирус также считывает технические данные компьютера, в частности RDP протоколы. Это также создает поддельный системный процесс для маскировки его деятельности. Интересно, что вредоносное ПО имеет функции анти-песочницы. Он маневрирует, чтобы избежать обнаружения. Если занятая система является естественной средой ОС, а не виртуальной машиной, вредоносное ПО подключается к http://ip.api/json.txt и отправляет данные о геолокации жертвы. Следовательно, удаление Sigma вымогателя необходимо для устранения повреждений устройства.

Однако основная задача вымогателя заключается в шифровании файлов на зараженном компьютере. Во время процесса он помещает файл ReadMe.html, который направляет пользователей на сайт онлайн-платежей. Он кратко информирует пользователей о зашифрованных данных. Он говорит им загрузить TorBrowser и войти на конкретную .onion страницу. Последняя представляет страницу под названием «Sigma вымогатель» и просит ввести GUID. Она также содержит ссылку для загрузки GUID помощника.

Sigma wallpaper

После завершения шифрования вредоносное ПО также изменяет фон рабочего стола. Сообщение настоятельно призывает пользователей найти файл «Readme» или посетить указанную .onion ссылку и ввести персональный ID номер, указанный в примечании о выкупе. На рабочем столе Sigma вымогатель также оставляет GUID.exe и GUID.txt файлы.

Говоря о сайте оплаты, он состоит из нескольких страниц. Одна из них указывает точное время, когда ваши файлы были зашифрованы. Она требует 1000$ за программное обеспечения для дешифрования. Если платеж не будет переведен в течение 7 дней, сумма выкупа удвоится. На той же .onion странице жертвам предлагается создать биткоин-кошелек.

Sigma payment website

Анализ Sigma вымогателя показал, что в отличие от стандартного вымогателя это криптозащитное средство не предоставляет адреса электронной почты, а вместо этого предлагает использовать учетную запись Xamp. Он также включает ссылку на руководство по установке Pidgin. Поэтому они свяжутся с исполнителем через  Sigmaxxx@jabb.im адрес.

Вместо того, чтобы соответствовать требованиям, удалите Sigma вымогателя. Вы можете сделать это с помощью Reimage или Malwarebytes Anti Malware. Возможно, вам потребуется загрузить ваш компьютер в безопасном режиме. Дальнейшие инструкции указаны ниже. К сожалению, дешифратор для Sigma вымогателя пока недоступен. Однако вы можете попробовать альтернативные методы восстановления, которые также приведены в конце статьи.

Поддельные письма Craigslist были замечены в распространении Sigma вымогателя в марте 2018 года

Авторы Sigma вируса запустили новую кампанию malspam для распространения полезной нагрузки вредоносного ПО. На этот раз мошенники отправляют поддельные письма Craiglist, содержащие защищенные паролем документы Word или RTF. Конечно, эти документы включают исполняемый файл вымогателя.

Sigma ransomware is spread via malicious emails

Пользователей, открывающих зараженное письмо и вводящих пароль, просят включить контент в документе. Как только это будет сделано, запуститься вредоносный скрипт VBA. Сразу после нажатия кнопки «Включить контент», RAR загружается и извлекается в папку %Temp%. Эта папка содержит файл svchost.exe, который запускает вымогателя.

Sigma is downloaded from Word document

Поддельные отсканированные файлы включают исполняемый вредоносный файл

В то время как вредоносное ПО представляет собой подробные графические интерфейсы и сайты платежей, его кампания по распространению отличается от других вредоносных программ. Вредоносная программа Sigma поставляется, как «Scan_[number].doc» файл через спам вложение.

В сообщении электронной почты вкратце указывается, что получателю будет выставлен счет [сумма денег] на их личный баланс Mastercard. Чтобы избежать этого, нужно рассмотреть приложение. Оно также содержит код доступа. Однако ввод кода активирует Sigma вымогателя. Интересно, что хотя вредоносное ПО написано на английском языке, оно было обнаружено на греческих доменах.

Помимо спам-писем, пользователи должны также проявлять бдительность во время загрузки приложений. Обратите внимание на источник, из которого вы загружаете, сертифицирован ли он. Обратите внимание на этапы мастера установки, чтобы отменить выбор дополнительных и ненужных надстроек. Теперь перейдем к разделу устранения Sigma вымогателя.

Инструкции удаления Sigma вымогателя

Удаление Sigma необходимо для очистки компьютера и повторного его использования. К сожалению, устранение вирусов не помогает восстановить зашифрованные файлы. Тем не менее, вы можете попробовать стороннее программное обеспечение или использовать резервные копии, как только ваш компьютер будет чистым.

Вы можете сделать это с помощью инструмента устранения вредоносных программ, например Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus или Malwarebytes Anti Malware. Если вы не можете запустить удаление Sigma вируса , выполните восстановление системы или перезагрузите компьютер в безопасном режиме. Только после устранения вредоносного ПО перейдите к восстановлению данных.

Продукты, которые мы вам рекомендуем на нашем сайте, могут быть связаны с нами. Подробнее в лицензионном соглашении. Загружая любое Антишпионское ПО для удаления Вирус-вымогатель Sigma, вы соглашаетесь с политика конфиденциальности и ползьовательское соглашение.
Сделать!
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Совместимость с OS X
Что делать, если не удалось?
Если вы провалили удаление инфекции Reimage, задайте вопрос нашей команде поддержки и предоставьте столько деталей, сколько возможно.
Reimage рекомендуется для деинсталляции Вирус-вымогатель Sigma. Бесплатное сканирование позволит Вам проверить заражен Ваш ПК или нет. Если хотите удалить вредоносные программы, то Вам нужно купить средство для удаления вредоносного ПО - лицензионную копию Reimage.
Более подробную информацию об этой программе можно получить из обзора Reimage.
Reimage в средствах массовой информации

Руководство по ручному удалению вируса Sigma:

Удалите Sigma, используя Safe Mode with Networking

Выполните следующие шаги для загрузки компьютера в безопасном режиме с помощью драйверов сети:

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Safe Mode with Networking Выберите 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking. Выберите 'Enable Safe Mode with Networking'
  • Шаг 2: Удалить Sigma

    Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление Sigma.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Удалите Sigma, используя System Restore

Этот метод может помочь отключить вредоносное ПО Sigma и выполнить автоматическое удаление:

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Command Prompt Выберите 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt. Выберите 'Enable Safe Mode with Command Prompt'
  • Шаг 2: Восстановите Ваши системные файлы и настройки
    1. После появления окна Command Prompt, введите cd restore и щелкните Enter Введите 'cd restore' без кавычек и нажмите 'Enter'
    2. Теперь введите rstrui.exe и снова нажмите Enter.. Введите 'rstrui.exe' без кавычек и нажмите 'Enter'
    3. После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению Sigma. После этого нажмите Next. В появившемся окне 'System Restore' выберите 'Next' Выберите Вашу точку восстановления и щелкните 'Next'
    4. Теперь щелкните Yes для начала восстановления системы. Щелкните 'Yes' и начните восстановление системы
    После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с убедитесь, что удаление рошло успешно.

Бонус: Восстановите ваши данные

Руководство, представленное выше, должно помочь вам удалить Sigma с вашего компьютера. Для восстановления зашифрованных файлов, мы рекомендуем использовать подробную инструкцию, подготовленную экспертами по безопасности bedynet.ru.

Если ваши файлы зашифрованные Sigma, вы можете использовать несколько методов, чтобы восстановить их:

Программное обеспечение Data Recovery Pro может помочь восстановить файлы

Хотя это программное обеспечение предназначено для восстановления файлов после сбоя системы, оно может оказаться эффективным и в этом случае.

  • Загрузите Data Recovery Pro (http://bedynet.ru/download/data-recovery-pro-setup.exe);
  • Следуйте шагам по Data Recovery Установите и настройте программу на вашем компьютере;
  • Запустите ее и просканируйте ваш компьютер на файлы, зашифрованные Sigma вымогателем;
  • Восстановите их.

Преимущества ShadowExplorer

Нет сведений о том, что Sigma вымогатель удаляет копии тома, поэтому это программное обеспечение может помочь вам восстановить некоторые файлы, используя указанные копии.

  • Загрузите Shadow Explorer (http://shadowexplorer.com/);
  • Следуйте настройкам Shadow Explorer, и установите это приложение на ваш компьютер;
  • Запустите программу и зайдите в меню, в верхнем левом углу, чтобы выбрать диск с вашими зашифрованными данными. Также проверьте, какие там папки ;
  • Правый щелчок на папку, которую вы хотите восстановить, и выберите “Export”. Также, вы можете выбрать куда вы хотите это восстановить.

Sigma дешифровщик

На данный момент нет бесплатного программного обеспечения для дешифрования, выпущенного для этого варианта вымогателя. Не рекомендуется использовать тот, который предлагается разработчиками вредоносного ПО, поскольку это может только облегчить будущий захват операционной системы.

Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от Sigma и других подобных приложений, используйте надежную антишпионскую программу, такую как Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus или Malwarebytes Anti Malware

О авторе

Julie Splinters
Julie Splinters - Специалист по удалению вредоносных программ

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Обратитесь к Julie Splinters
О компании Esolutions

Руководство по удалению на другом языке