Вирус-вымогатель Sigma. Как удалить? (Руководство по удалению)
Sigma — вымогатель, который продолжает распространяться и шифровать файлы в 2018 году
Sigma — это угроза типа вымогатель, использующая RSA-2048 шифрование, и добавляющая случайное 4-символьное расширение файла к целевым данным. После шифрования данных он роняет ReadMe.html или ReadMe.txt файл, который перенаправляет на сайт оплаты выкупа. Самый распространенный способ заражения этой вредоносной программой — открыть вредоносное вложение электронной почты. Хотя эксперты по безопасности предупреждают, что в марте 2018 года была замечена новая спам-кампания, распространяющая вирус.
| Описание | |
| Имя | Sigma |
| Тип | Вымогатель |
| Имена обнаружения AV | Trojan.Agent.CPOW, Trojan.Ransom.Shade!1.A988 (CLASSIC), Trojan.Generic.bcnxb etc. |
| Уровень опасности | Высокий. Вымогатель изменяет важные процессы Windows, устанавливает вредоносные компоненты и шифрует файлы. |
| Симптомы | Невозможность открыть и использовать файлы из-за неизвестного расширения файла. |
| Расширение файла | Добавляет 4-символьное расширение файла. |
| Записка о выкупе | ReadMe.html, ReadMe.txt |
| Файлы, связанные с вымогателем | GUID.exe, GUID.txt, Automated Universal MultiBoot UFD Creation Tool.exe, |
В настоящий момент вирус Sigma имеет низкий коэффициент обнаружения. Он распространяется под видом Automated Universal MultiBoot UFD Creation Tool.exe файла или Guid.exe.bin. Он обнаруживается как Trojan.Agent.CPOW,, Trojan.Ransom.Shade!1.A988 (CLASSIC), и т.д. Первый образец идентифицировался только одним средством безопасности, как Trojan.Generic.bcnxb. Учитывая прежнее альтернативное имя трояна и сам дизайн записки о выкупе, то можно предположить его отношение к угрозе Shade.
Кроме того, вирус также считывает технические данные компьютера, в частности RDP протоколы. Это также создает поддельный системный процесс для маскировки его деятельности. Интересно, что вредоносное ПО имеет функции анти-песочницы. Он маневрирует, чтобы избежать обнаружения. Если занятая система является естественной средой ОС, а не виртуальной машиной, вредоносное ПО подключается к http://ip.api/json.txt и отправляет данные о геолокации жертвы. Следовательно, удаление Sigma вымогателя необходимо для устранения повреждений устройства.
Однако основная задача вымогателя заключается в шифровании файлов на зараженном компьютере. Во время процесса он помещает файл ReadMe.html, который направляет пользователей на сайт онлайн-платежей. Он кратко информирует пользователей о зашифрованных данных. Он говорит им загрузить TorBrowser и войти на конкретную .onion страницу. Последняя представляет страницу под названием «Sigma вымогатель» и просит ввести GUID. Она также содержит ссылку для загрузки GUID помощника.
После завершения шифрования вредоносное ПО также изменяет фон рабочего стола. Сообщение настоятельно призывает пользователей найти файл «Readme» или посетить указанную .onion ссылку и ввести персональный ID номер, указанный в примечании о выкупе. На рабочем столе Sigma вымогатель также оставляет GUID.exe и GUID.txt файлы.
Говоря о сайте оплаты, он состоит из нескольких страниц. Одна из них указывает точное время, когда ваши файлы были зашифрованы. Она требует 1000$ за программное обеспечения для дешифрования. Если платеж не будет переведен в течение 7 дней, сумма выкупа удвоится. На той же .onion странице жертвам предлагается создать биткоин-кошелек.
Анализ Sigma вымогателя показал, что в отличие от стандартного вымогателя это криптозащитное средство не предоставляет адреса электронной почты, а вместо этого предлагает использовать учетную запись Xamp. Он также включает ссылку на руководство по установке Pidgin. Поэтому они свяжутся с исполнителем через Sigmaxxx@jabb.im адрес.
Вместо того, чтобы соответствовать требованиям, удалите Sigma вымогателя. Вы можете сделать это с помощью Reimage или Plumbytes Anti-MalwareNorton Internet Security. Возможно, вам потребуется загрузить ваш компьютер в безопасном режиме. Дальнейшие инструкции указаны ниже. К сожалению, дешифратор для Sigma вымогателя пока недоступен. Однако вы можете попробовать альтернативные методы восстановления, которые также приведены в конце статьи.
Выберите 'Safe Mode with Networking'
Выберите 'Enable Safe Mode with Networking'
Выберите 'Safe Mode with Command Prompt'
Выберите 'Enable Safe Mode with Command Prompt'
Введите 'cd restore' без кавычек и нажмите 'Enter'
Введите 'rstrui.exe' без кавычек и нажмите 'Enter'
В появившемся окне 'System Restore' выберите 'Next'
Выберите Вашу точку восстановления и щелкните 'Next'
Щелкните 'Yes' и начните восстановление системы
Поддельные письма Craigslist были замечены в распространении Sigma вымогателя в марте 2018 года
Авторы Sigma вируса запустили новую кампанию malspam для распространения полезной нагрузки вредоносного ПО. На этот раз мошенники отправляют поддельные письма Craiglist, содержащие защищенные паролем документы Word или RTF. Конечно, эти документы включают исполняемый файл вымогателя.
Пользователей, открывающих зараженное письмо и вводящих пароль, просят включить контент в документе. Как только это будет сделано, запуститься вредоносный скрипт VBA. Сразу после нажатия кнопки «Включить контент», RAR загружается и извлекается в папку %Temp%. Эта папка содержит файл svchost.exe, который запускает вымогателя.
Поддельные отсканированные файлы включают исполняемый вредоносный файл
В то время как вредоносное ПО представляет собой подробные графические интерфейсы и сайты платежей, его кампания по распространению отличается от других вредоносных программ. Вредоносная программа Sigma поставляется, как «Scan_[number].doc» файл через спам вложение.
В сообщении электронной почты вкратце указывается, что получателю будет выставлен счет [сумма денег] на их личный баланс Mastercard. Чтобы избежать этого, нужно рассмотреть приложение. Оно также содержит код доступа. Однако ввод кода активирует Sigma вымогателя. Интересно, что хотя вредоносное ПО написано на английском языке, оно было обнаружено на греческих доменах.
Помимо спам-писем, пользователи должны также проявлять бдительность во время загрузки приложений. Обратите внимание на источник, из которого вы загружаете, сертифицирован ли он. Обратите внимание на этапы мастера установки, чтобы отменить выбор дополнительных и ненужных надстроек. Теперь перейдем к разделу устранения Sigma вымогателя.
Инструкции удаления Sigma вымогателя
Удаление Sigma необходимо для очистки компьютера и повторного его использования. К сожалению, устранение вирусов не помогает восстановить зашифрованные файлы. Тем не менее, вы можете попробовать стороннее программное обеспечение или использовать резервные копии, как только ваш компьютер будет чистым.
Вы можете сделать это с помощью инструмента устранения вредоносных программ, например Reimage, Malwarebytes Malwarebytes или Plumbytes Anti-MalwareNorton Internet Security. Если вы не можете запустить удаление Sigma вируса , выполните восстановление системы или перезагрузите компьютер в безопасном режиме. Только после устранения вредоносного ПО перейдите к восстановлению данных.
Руководство по ручному удалению вируса Sigma:
О авторе
Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.