Вирус-вымогатель Sigma. Как удалить? (Руководство по удалению)
Sigma — вымогатель, который продолжает распространяться и шифровать файлы в 2018 году
Sigma — это угроза типа вымогатель, использующая RSA-2048 шифрование, и добавляющая случайное 4-символьное расширение файла к целевым данным. После шифрования данных он роняет ReadMe.html или ReadMe.txt файл, который перенаправляет на сайт оплаты выкупа. Самый распространенный способ заражения этой вредоносной программой — открыть вредоносное вложение электронной почты. Хотя эксперты по безопасности предупреждают, что в марте 2018 года была замечена новая спам-кампания, распространяющая вирус.
| Описание | |
| Имя | Sigma |
| Тип | Вымогатель |
| Имена обнаружения AV | Trojan.Agent.CPOW, Trojan.Ransom.Shade!1.A988 (CLASSIC), Trojan.Generic.bcnxb etc. |
| Уровень опасности | Высокий. Вымогатель изменяет важные процессы Windows, устанавливает вредоносные компоненты и шифрует файлы. |
| Симптомы | Невозможность открыть и использовать файлы из-за неизвестного расширения файла. |
| Расширение файла | Добавляет 4-символьное расширение файла. |
| Записка о выкупе | ReadMe.html, ReadMe.txt |
| Файлы, связанные с вымогателем | GUID.exe, GUID.txt, Automated Universal MultiBoot UFD Creation Tool.exe, |
В настоящий момент вирус Sigma имеет низкий коэффициент обнаружения. Он распространяется под видом Automated Universal MultiBoot UFD Creation Tool.exe файла или Guid.exe.bin. Он обнаруживается как Trojan.Agent.CPOW,, Trojan.Ransom.Shade!1.A988 (CLASSIC), и т.д. Первый образец идентифицировался только одним средством безопасности, как Trojan.Generic.bcnxb. Учитывая прежнее альтернативное имя трояна и сам дизайн записки о выкупе, то можно предположить его отношение к угрозе Shade.
Кроме того, вирус также считывает технические данные компьютера, в частности RDP протоколы. Это также создает поддельный системный процесс для маскировки его деятельности. Интересно, что вредоносное ПО имеет функции анти-песочницы. Он маневрирует, чтобы избежать обнаружения. Если занятая система является естественной средой ОС, а не виртуальной машиной, вредоносное ПО подключается к http://ip.api/json.txt и отправляет данные о геолокации жертвы. Следовательно, удаление Sigma вымогателя необходимо для устранения повреждений устройства.
Однако основная задача вымогателя заключается в шифровании файлов на зараженном компьютере. Во время процесса он помещает файл ReadMe.html, который направляет пользователей на сайт онлайн-платежей. Он кратко информирует пользователей о зашифрованных данных. Он говорит им загрузить TorBrowser и войти на конкретную .onion страницу. Последняя представляет страницу под названием «Sigma вымогатель» и просит ввести GUID. Она также содержит ссылку для загрузки GUID помощника.
После завершения шифрования вредоносное ПО также изменяет фон рабочего стола. Сообщение настоятельно призывает пользователей найти файл «Readme» или посетить указанную .onion ссылку и ввести персональный ID номер, указанный в примечании о выкупе. На рабочем столе Sigma вымогатель также оставляет GUID.exe и GUID.txt файлы.
Говоря о сайте оплаты, он состоит из нескольких страниц. Одна из них указывает точное время, когда ваши файлы были зашифрованы. Она требует 1000$ за программное обеспечения для дешифрования. Если платеж не будет переведен в течение 7 дней, сумма выкупа удвоится. На той же .onion странице жертвам предлагается создать биткоин-кошелек.
Анализ Sigma вымогателя показал, что в отличие от стандартного вымогателя это криптозащитное средство не предоставляет адреса электронной почты, а вместо этого предлагает использовать учетную запись Xamp. Он также включает ссылку на руководство по установке Pidgin. Поэтому они свяжутся с исполнителем через Sigmaxxx@jabb.im адрес.
Вместо того, чтобы соответствовать требованиям, удалите Sigma вымогателя. Вы можете сделать это с помощью Reimage или Malwarebytes Anti Malware. Возможно, вам потребуется загрузить ваш компьютер в безопасном режиме. Дальнейшие инструкции указаны ниже. К сожалению, дешифратор для Sigma вымогателя пока недоступен. Однако вы можете попробовать альтернативные методы восстановления, которые также приведены в конце статьи.
Выберите 'Safe Mode with Networking'
Выберите 'Enable Safe Mode with Networking'
Выберите 'Safe Mode with Command Prompt'
Выберите 'Enable Safe Mode with Command Prompt'
Введите 'cd restore' без кавычек и нажмите 'Enter'
Введите 'rstrui.exe' без кавычек и нажмите 'Enter'
В появившемся окне 'System Restore' выберите 'Next'
Выберите Вашу точку восстановления и щелкните 'Next'
Щелкните 'Yes' и начните восстановление системы
Поддельные письма Craigslist были замечены в распространении Sigma вымогателя в марте 2018 года
Авторы Sigma вируса запустили новую кампанию malspam для распространения полезной нагрузки вредоносного ПО. На этот раз мошенники отправляют поддельные письма Craiglist, содержащие защищенные паролем документы Word или RTF. Конечно, эти документы включают исполняемый файл вымогателя.
Пользователей, открывающих зараженное письмо и вводящих пароль, просят включить контент в документе. Как только это будет сделано, запуститься вредоносный скрипт VBA. Сразу после нажатия кнопки «Включить контент», RAR загружается и извлекается в папку %Temp%. Эта папка содержит файл svchost.exe, который запускает вымогателя.
Поддельные отсканированные файлы включают исполняемый вредоносный файл
В то время как вредоносное ПО представляет собой подробные графические интерфейсы и сайты платежей, его кампания по распространению отличается от других вредоносных программ. Вредоносная программа Sigma поставляется, как «Scan_[number].doc» файл через спам вложение.
В сообщении электронной почты вкратце указывается, что получателю будет выставлен счет [сумма денег] на их личный баланс Mastercard. Чтобы избежать этого, нужно рассмотреть приложение. Оно также содержит код доступа. Однако ввод кода активирует Sigma вымогателя. Интересно, что хотя вредоносное ПО написано на английском языке, оно было обнаружено на греческих доменах.
Помимо спам-писем, пользователи должны также проявлять бдительность во время загрузки приложений. Обратите внимание на источник, из которого вы загружаете, сертифицирован ли он. Обратите внимание на этапы мастера установки, чтобы отменить выбор дополнительных и ненужных надстроек. Теперь перейдем к разделу устранения Sigma вымогателя.
Инструкции удаления Sigma вымогателя
Удаление Sigma необходимо для очистки компьютера и повторного его использования. К сожалению, устранение вирусов не помогает восстановить зашифрованные файлы. Тем не менее, вы можете попробовать стороннее программное обеспечение или использовать резервные копии, как только ваш компьютер будет чистым.
Вы можете сделать это с помощью инструмента устранения вредоносных программ, например Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus или Malwarebytes Anti Malware. Если вы не можете запустить удаление Sigma вируса , выполните восстановление системы или перезагрузите компьютер в безопасном режиме. Только после устранения вредоносного ПО перейдите к восстановлению данных.
Руководство по ручному удалению вируса Sigma:
Удалите Sigma, используя Safe Mode with Networking
Выполните следующие шаги для загрузки компьютера в безопасном режиме с помощью драйверов сети:
-
Шаг 1: Перезагрузите компьютер для Safe Mode with Networking
Windows 7 / Vista / XP- Щелкните Start → Shutdown → Restart → OK.
- Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
-
В списке выберите Safe Mode with Networking
Windows 10 / Windows 8- В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
- Теперь выберите Troubleshoot → Advanced options → Startup Settings и нажмите Restart.
-
Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking.
-
Шаг 2: Удалить Sigma
Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление Sigma.
Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.
Удалите Sigma, используя System Restore
Этот метод может помочь отключить вредоносное ПО Sigma и выполнить автоматическое удаление:
-
Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt
Windows 7 / Vista / XP- Щелкните Start → Shutdown → Restart → OK.
- Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
-
В списке выберите Command Prompt
Windows 10 / Windows 8- В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
- Теперь выберите Troubleshoot → Advanced options → Startup Settings и нажмите Restart.
-
Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt.
-
Шаг 2: Восстановите Ваши системные файлы и настройки
-
После появления окна Command Prompt, введите cd restore и щелкните Enter
-
Теперь введите rstrui.exe и снова нажмите Enter..
-
После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению Sigma. После этого нажмите Next.
-
Теперь щелкните Yes для начала восстановления системы.
-
После появления окна Command Prompt, введите cd restore и щелкните Enter
Бонус: Восстановите ваши данные
Руководство, представленное выше, должно помочь вам удалить Sigma с вашего компьютера. Для восстановления зашифрованных файлов, мы рекомендуем использовать подробную инструкцию, подготовленную экспертами по безопасности bedynet.ru.Если ваши файлы зашифрованные Sigma, вы можете использовать несколько методов, чтобы восстановить их:
Программное обеспечение Data Recovery Pro может помочь восстановить файлы
Хотя это программное обеспечение предназначено для восстановления файлов после сбоя системы, оно может оказаться эффективным и в этом случае.
- Загрузите Data Recovery Pro (http://bedynet.ru/download/data-recovery-pro-setup.exe);
- Следуйте шагам по Data Recovery Установите и настройте программу на вашем компьютере;
- Запустите ее и просканируйте ваш компьютер на файлы, зашифрованные Sigma вымогателем;
- Восстановите их.
Преимущества ShadowExplorer
Нет сведений о том, что Sigma вымогатель удаляет копии тома, поэтому это программное обеспечение может помочь вам восстановить некоторые файлы, используя указанные копии.
- Загрузите Shadow Explorer (http://shadowexplorer.com/);
- Следуйте настройкам Shadow Explorer, и установите это приложение на ваш компьютер;
- Запустите программу и зайдите в меню, в верхнем левом углу, чтобы выбрать диск с вашими зашифрованными данными. Также проверьте, какие там папки ;
- Правый щелчок на папку, которую вы хотите восстановить, и выберите “Export”. Также, вы можете выбрать куда вы хотите это восстановить.
Sigma дешифровщик
На данный момент нет бесплатного программного обеспечения для дешифрования, выпущенного для этого варианта вымогателя. Не рекомендуется использовать тот, который предлагается разработчиками вредоносного ПО, поскольку это может только облегчить будущий захват операционной системы.
Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от Sigma и других подобных приложений, используйте надежную антишпионскую программу, такую как Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus или Malwarebytes Anti Malware