шкала интенсивности:  
  (99/100)

Вирус-вымогатель CryptoMix. Как удалить? (Руководство по удалению)

12

Новый вариант CryptoMix был выпущен в и июле 2017 года

An image of CryptoMix virus

CryptoMix — это вирус шифрующий файлы был обнаружен весной 2016 года и обновлен с тех пор несколько раз. Экспертам по безопасности удалось разбить код нескольких вариантов и создать программное обеспечение для дешифрования. Однако киберпреступники выпустили новые версии вымогателя.

В июле 2017 года аналитики обнаружили новый вариант распространяющейся в интернете. Так же, как и предыдущие варианты CryptoMix Wallet и Azer вымогатели, недавно появившийся вирус Exte вымогатель еще не дешифруем. Таким образом, лучше принять меры предосторожности, чтобы избежать этих вирусов.

Это шифрующее вредоносное ПО скрытно проникает в компьютеры жертв с помощью спама. После этого, оно находит предопределенные файлы и шифрует их с помощью сложного алгоритма шифрования RSA-2048. Угроза добавляет к целевым файлам .email[supl0@post.com]id[\[[az0-9]{16}\]].lesli или .lesli  расширение.

Другие варианты могут помечать зашифрованные файлы CRYPTOSHIELD, .code, .revenge, .scl, .rscl.rdmk, .rmd, .wallet.azer, .Mole02, .EXTE и другими расширениями.

Когда файлы зашифровываются, вымогатель бросает записку с выкупом под названием INSTRUCTION RESTORE FILES.TXT, где жертв просят связаться с киберпреступниками через предоставленный адрес электронной почты (xoomx[@]dr.com и xoomx[@]usa.com), чтобы получить специальный ключ дешифрования, который обычно хранится в некоторой удаленной папке.

Обновленные версии используют разные имена для файлов с выкупом, такие как _HELP_INSTRUCTION.TXT, !!!HELP_FILE!!! #, # RESTORINGFILES #.HTML или                    # RESTORINGFILES #.TXT.

Чтобы получить доступ к ключу дешифрования, жертва должна заплатить значительную сумму денег. Однако, сначала вы должны позаботиться о CryptoMix, потому что он может легко зашифровать другую партию ваших файлов. Для удаления вымогателя требуется установка мощной программы для удаления вредоносных программ, например Reimage, и запуск полного сканирования системы.

Это шифрующая угроза похожа на CryptoWall 3.0CryptoWall 4.0 and CryptXXX. Однако, в отличие от этих вредоносных программ, CryptoMix утверждает, что собранная прибыль используется для благотворительности.

Разработчики вымогателя, называют себя Cham Team, также предлагают “бесплатную техническую поддержку” для тех, кто решил заплатить. Отложив все эти странные обещания, вы должны помнить, что вы имеете дело с настоящими киберпреступниками, поэтому нет необходимости следовать их командам и поддерживать их грязный бизнес.

Даже если вы решите заплатить выкуп в обмен на ваши файлы, вы должны принять во внимание, что вы можете не получить доступ к ключу дешифрования, который вам нужен, или сам ключ может быть поврежден.

Таким образом, мы не рекомендуем следовать инструкциям хакеров, представленным в файле INSTRUCTION RESTORE FILE.TXT. Это сообщение, требующее выкуп, появляется в каждой папке, содержащей зашифрованные данные

Говорят, что CryptoMix вирус шифрует поразительное количество типов файлов — 862. Таким образом, его невозможно игнорировать.

После связи с хакерами жертва отправляет ссылку и пароль на веб-сайт службы One Time Secret, который может использоваться для обмена анонимными сообщениями с хакерами. Сначала хакеры могут попытаться убедить жертву заплатить ради благотворительности. Конечно, мы не найдем человека, который готов заплатить выкуп 1900 долларов США в обмен на его или ее файлы.

Кроме того, киберпреступники могут начать угрожать вам удвоить выкуп, если он не будет оплачен в течение 24 часов. Самое интересное, что вы можете получить скидку после обращения к этим хакерам. В любом случае мы не рекомендуем идти так далеко.

Вы должны удалить CryptoMix вирус, как только заметите, что не можете получить доступ к своим файлам. Однако вы должны помнить, что удаление этого вируса не восстановит ваши файлы. Для этого вам нужно использовать шаги дешифрования данных, указанные в конце этого сообщения. Если вы еще не инфицированы, убедитесь, что ваши данные находятся в безопасном месте, прежде чем вымогатель заразит ваш компьютер.

Версии CryptoMix вируса

Вирус-вымогатель CryptoShield 1.0 . Этот недавно обнаруженный вирус разрастается на плохо защищенных и зараженных сайтах. Регулярные посетители торрентов и доменов для обмена фалов, являются целью этого вируса. Используя цепочку атак EITest, набор эксплойтов RIG загружаются весь необходимый контент для полного взлома CryptoShield.

После завершения подготовки угроза инициирует поддельные сообщения, чтобы обмануть пользователей, эти уведомления являются результатом обычных процессов Windows. Тем не менее, нетрудно увидеть мошенничество, поскольку уведомления содержат очевидные орфографические ошибки.

Интересно, что создатели решили объединить методы шифрования AES-256 и ROT-13 для блокировки данных пользователей. В то время как последний ужасно прост, первый по-прежнему вызывает головную боль для ИТ-специалистов. К сожалению, угроза может удалить копии теневого объема, которые несут возможность на восстановление данных для жертв. В любом случае, не рекомендуется платить выкуп.

.code вирус. Вредоносные программы распространяются через спам-сообщения с вредоносным электронным вложением. Когда пользователи открывают прикрепленный файл, вредоносная программа загружается в систему и запускает процедуру шифрования данных. Вирус использует алгоритм шифрования RSA-2048 и добавляет расширение файла .code .

Когда все целевые файлы зашифровываются, вымогатель бросает записку с выкупом под именем “help recover files.txt”, где жертв просят связаться с разработчиками через электронную почту xoomx_@_dr.com или xoomx_@_usa.com. Однако делать это не рекомендуется, потому что киберпреступники попросят передать до 5 биткойнов за ключ дешифрования. Это огромная сумма денег, и вы не должны рисковать потерять их. Лучше сначала удалить .code вирус.

Вирус-вымогатель CryptoShield 2.0. Эта версия почти не отличается от предыдущего варианта CryptoShield. После инфильтрации он начинает процедуру шифрования данных с использованием алгоритма RSA-2048 и добавляет CRYPTOSHIELD расширение к каждому целевому файлу.

Затем вредоносная программа создает на рабочем столе два новых файла, называемых # RESTORINGFILES #.txt и # RESTORINGFILES #.html. Эти файлы включают инструкции по восстановлению зашифрованных данных. В примечании о выкупе киберпреступники предоставляют несколько адресов электронной почты (res_sup@india.com, res_sup@computer4u.comorres_reserve@india.com) для тех жертв, которые готовы заплатить выкуп.

Однако делать это не рекомендуется. Если вы заразились этой версией CryptoMix, удалите вирус с компьютера и используйте резервные копии данных или альтернативные методы для восстановления ваших файлов.

Вирус-вымогатель Revenge. Этот вирус шифрующий файлы распространяется как троянец с помощью наборов RIG эксплойтов. После инфильтрации он сканирует систему, ищет целевые файлы, и шифрует их, используя AES-256 алгоритм. Как и его название, вредоносное приложение добавляет расширение .revenge к каждому поврежденному файлу и делает невозможным его открытие или использование.

Тем не менее, киберпреступники предоставляют инструкции, как получить обратный доступ к зашифрованным файлам в записке, которая называется # !!!HELP_FILE!!! #.txt. Здесь жертвам предлагается связаться с мошенниками через предоставленные адреса электронной почты: restoring_sup@india.com, restoring_sup@computer4u.com, restoring_reserve@india.com, rev00@india.com, revenge00@witeme.com, и rev_reserv@india.com.

Если люди решают сделать это (не рекомендуется), им предлагается передать определенное количество биткойнов, чтобы получить дешифровщика. Мы хотим отметить, что эта теневая сделка может закончиться потерей денег или другими вредоносными атаками. Кроме того, зашифрованные файлы могут быть недоступны.

Вирус-вымогатель Mole. Эта версия CryptoMix путешествует через вводящие в заблуждение электронные письма, которые сообщают о проблемах доставки USPS. Когда люди нажимают на ссылку или вложение, указанные в письме, они устанавливают исполняемый файл Mole в системе. На зараженном компьютере вредоносное ПО немедленно запускает процедуру шифрования и блокирует файлы с использованием ключа шифрования RSA-1024.

Чтобы сделать атаку еще более разрушительной, вредоносное ПО также удаляет темные копии. Таким образом, восстановление данных без специального программного обеспечения для дешифрования практически невозможно, если у жертв нет резервных копий. После шифрования данных, Mole вымогатель бросает примечание о выкупе
“INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT”, где жертвам сообщается о необходимости связаться с киберпреступниками в течение 78 часов.

Предполагается, что жертвы отправить свой уникальный идентификационный номер на почту oceanm@engineer.com или oceanm@india.com. Однако делать это не рекомендуется, потому что людям будет предложено передать огромную сумму денег и получить сомнительное программное обеспечение для дешифрования. После атаки вымогателя, жертвы сначала должны сосредоточиться на удалении вредоносных программ.

CryptoMix Wallet вирус-вымогатель. Этот вариант вымогателя использует AES-шифрование и добавляет расширение файла .wallet к целевым файлам, которые шифруются Wallet вымогателем. Однако вредоносное ПО также переименовывает файлы. Имя зашифрованного файла включает адрес электронной почты киберпреступников, ID жертвы и расширение файла: .[email@address.com].ID[16 уникальных символов].WALLET.

После того, как все файлы зашифрованы, жертвы получают фальшивое сообщение об ошибке приложения explorer.exe, которое должно обмануть жертв нажать кнопку “ОК”. При нажатии кнопки “ОК” запускается окно подсказки контроль учетных записей. Эти изменения не исчезнут, пока пользователи нажмут кнопку “Да”. После этого вредоносная программа начинает удаление темных копий.

Наконец, вредоносное ПО оставляет примечание о выкупе “#_RESTORING_FILES _ #. Txt”, где жертвам предлагается отправить их уникальный идентификационный номер на один из этих адресов электронной почты: shield0@usa.com, admin@hoist.desi и crysis@life.com. Затем киберпреступники предоставят стоимость программы для дешифрования. Однако доверять им не рекомендуется. Тем не менее, вымогатель все еще недешефруемый; мы не рекомендуем рисковать потерять деньги или заразиться другими вредоносными программами. После атаки используйте профессиональное программное обеспечение безопасности и удалите паразита с устройства.

Вирус-вымогатель Mole02. Mole02 — еще одна версия описанного семейства вымогателя, и она добавляет расширения файла .mole02 к зашифрованным записям. Он использует RSA и AES алгоритмы шифрования для безопасного блокирования файлов жертвы. Сначала вирус появился в июне 2017 года и успешно заразил тысячи компьютеров по всему миру.

Вирус использует _HELP_INSTRUCTION.TXT как записку с выкупом. Он сохраняет этот файл на рабочем столе, чтобы сообщить жертве о кибератаке и потребовать выкуп. Однако жертвам больше не нужно платить выкуп, если у них нет резервных копий данных. Эксперты по вредоносным программам выпустили бесплатный дешифратор Mole02, который восстанавливает поврежденные файлы абсолютно бесплатно.

Вирус-вымогатель Azer. AZER Cryptomix вирус это последняя версия этой группы вымогателей, которая появилась сразу после выпуска дешифратора Mole02. В новой версии использует [webmafia@asia.com].AZER или .-email-[donald@trampo.info.AZER расширение. Для маркировки зашифрованных данных. Вирус также повреждает исходное имя файла.

Записка о выкупе, выданная этим вирусом, называется _INTERESTING_INFORMACION_FOR_DECRYPT.TXT. Это очень краткое, и простое предложение написать на один из предоставленных электронных адресов, чтобы получить инструкции по восстановлению данных. Конечно, преступники не планируют бесплатно расшифровывать ваши файлы. Обычно они требуют выкуп, однако в настоящий момент его размер неизвестен. К сожалению, в настоящее время нет инструментов, способных расшифровывать .azer файлы.

Вирус-вымогатель Exte. Эта версия вымогателя появилась в июле 2017 года. Имя вируса показывает, что оно добавляет .EXTE расширение к зашифрованным файлам. После того как все целевые файлы заблокированы, вредоносное ПО загружает заметку о выкупе с именем _HELP_INSTRUCTION.TXT. Здесь жертвам предлагается отправить свой уникальный идентификационный номер на exte1@msgden.net, exte2@protonmail.com или exte3@reddithub.com почту и дождаться ответа с инструкциями по восстановлению данных.

В настоящее время размер выкупа неизвестен. Кажется, что авторы вымогателя сами решают суму выкупа, в зависимости от количества зашифрованных файлов. Несмотря на то, что официальный дешифровщик для Exte не выпущен, мы не рекомендуем платить выкуп.

Стратегии распространения вирус-вымогателей

CryptMix не имеет специальной технологии для проникновения в компьютеры. Вы можете заразиться этим вымогателем, нажав на подозрительные уведомления или загрузки, или вы можете получить его через P2P сети (одноранговые сети).

Однако чаще всего он загружается в систему как важное вложение электронной почты, например счет-фактура, бизнес-отчет или аналогичный документ. Известно, что некоторые версии вредоносных программ распространяются как уведомления об отправке фальшивых доставок. Таким образом, вы должны быть осторожны с электронными письмами и всегда дважды проверять информацию перед открытием любых прикрепленных файлов, ссылок или кнопок.

Поэтому важно не только получить мощную антивирусную систему и надеяться на лучшее, но и приложить все усилия, чтобы предотвратить CryptoMix на вашем компьютере. Различные версии вредоносных программ используют эксплойты и трояны для проникновения в систему. Чтобы защитить себя или свой бизнес, убедитесь, что вы:

  • Анализируете все электронные письма, которые вы получили от неизвестных отправителей;
  • Посвятите некоторое время для дополнительных исследований при работе с недавно загруженным программным обеспечением;
  • Проверьте надежность сайтов, которые вы решили посетить, чтобы предотвратить проникновение CryptoMix вымогателя.
  • Уделяете время для установки нового программного обеспечения, это также является важным фактором, который может помочь вам избежать проникновения троянских коней, используемых для переноса этого вируса.

Инструкции для удаления CryptoMix вируса

Это не только возможно, но просто необходимо удалить CryptoMix из зараженного устройства. В противном случае ваши будущие файлы также могут оказаться в опасности. Мы должны предупредить вас, что удаление вымогателей иногда может быть довольно проблематичным.

Эти вредоносные программы могут попытаться заблокировать ваш антивирус от сканирования системы. В этом случае вам, возможно, придется вручную управлять вирусом, чтобы ваша программа для борьбы с вирусами могла быть запущена. Как только это будет сделано, вы можете установить Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus или Malwarebytes Anti Malware для очистки вашего ПК.

Вы найдете инструкции по удалению CryptoMix, подготовленные нашей командой экспертов в конце этой статьи. Кроме того, не стесняйтесь присылать нам сообщение, если вы столкнулись с проблемами, связанными с устранением этого вируса.

Продукты, которые мы вам рекомендуем на нашем сайте, могут быть связаны с нами. Подробнее в лицензионном соглашении. Загружая любое Антишпионское ПО для удаления Вирус-вымогатель CryptoMix, вы соглашаетесь с политика конфиденциальности и ползьовательское соглашение.
Сделать!
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Совместимость с OS X
Что делать, если не удалось?
Если вы провалили удаление инфекции Reimage, задайте вопрос нашей команде поддержки и предоставьте столько деталей, сколько возможно.
Reimage рекомендуется для деинсталляции Вирус-вымогатель CryptoMix. Бесплатное сканирование позволит Вам проверить заражен Ваш ПК или нет. Если хотите удалить вредоносные программы, то Вам нужно купить средство для удаления вредоносного ПО - лицензионную копию Reimage.

Более подробную информацию об этой программе можно получить из обзора Reimage.

Более подробную информацию об этой программе можно получить из обзора Reimage.
Reimage в средствах массовой информации
Reimage в средствах массовой информации

Руководство по ручному удалению вируса CryptoMix:

Удалите CryptoMix, используя Safe Mode with Networking

Reimage - это средство для обнаружения вредоносных программ.
Вам нужно приобрести полную версию для удаления киберинфекций.
Более подробная информация о Reimage.

Иногда вымогатели блокируют законное программное обеспечение безопасности, чтобы защитить себя от удаления. В этом случае вы можете попробовать перезагрузить компьютер в безопасном режиме с помощью драйверов сети.

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Safe Mode with Networking Выберите 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking. Выберите 'Enable Safe Mode with Networking'
  • Шаг 2: Удалить CryptoMix

    Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление CryptoMix.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Удалите CryptoMix, используя System Restore

Reimage - это средство для обнаружения вредоносных программ.
Вам нужно приобрести полную версию для удаления киберинфекций.
Более подробная информация о Reimage.

Если безопасный режим с использованием сети не помог вам отключить вымогателя, попробуйте восстановить систему. Тем не менее, вам необходимо дважды сканировать компьютер, чтобы убедиться, что вы удалили вымогателя из системы.

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Command Prompt Выберите 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt. Выберите 'Enable Safe Mode with Command Prompt'
  • Шаг 2: Восстановите Ваши системные файлы и настройки
    1. После появления окна Command Prompt, введите cd restore и щелкните Enter Введите 'cd restore' без кавычек и нажмите 'Enter'
    2. Теперь введите rstrui.exe и снова нажмите Enter.. Введите 'rstrui.exe' без кавычек и нажмите 'Enter'
    3. После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению CryptoMix. После этого нажмите Next. В появившемся окне 'System Restore' выберите 'Next' Выберите Вашу точку восстановления и щелкните 'Next'
    4. Теперь щелкните Yes для начала восстановления системы. Щелкните 'Yes' и начните восстановление системы
    После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с убедитесь, что удаление рошло успешно.

Бонус: Восстановите ваши данные

Руководство, представленное выше, должно помочь вам удалить CryptoMix с вашего компьютера. Для восстановления зашифрованных файлов, мы рекомендуем использовать подробную инструкцию, подготовленную экспертами по безопасности bedynet.ru.

[GIS=method-4]

[GIS-HEADER]Используйте CryptoMix дешифровщик выпущенный AVAST Software для восстановления ваших файлов[/GIS-HEADER]

Вы можете использовать этот инструмент для восстановления зашифрованных файлов. Однако имейте в виду, что он может использоваться для восстановления только тех файлов, которые были зашифрованы с помощью “офлайн ключа”. Если ваша версия CryptoMix использовала уникальный ключ с удаленного сервера, этот дешифровщик вам не поможет.

Если ваши файлы зашифрованные CryptoMix, вы можете использовать несколько методов, чтобы восстановить их:

Восстановление файлов, зашифрованных CryptoMix с помощью Data Recovery Pro

Data Recovery Pro — широко известный инструмент, который можно использовать для восстановления случайно удаленных файлов и других данных. Чтобы использовать его для восстановления файлов после проникновения вымогателя, выполните следующие действия:

  • Загрузите Data Recovery Pro (http://bedynet.ru/download/data-recovery-pro-setup.exe);
  • Следуйте шагам по Data Recovery Установите и настройте программу на вашем компьютере;
  • Запустите ее и просканируйте ваш компьютер на файлы, зашифрованные CryptoMix вымогателем;
  • Восстановите их.

Используйте функцию предыдущих версий Windows, чтобы получить ваши файлы после инфильтрации CryptoMix вымогателя

Метод предыдущих версий Windows эффективен только в том случае, если на вашем компьютере была включена функция восстановление системы перед проникновением этого вымогателя. Обратите внимание, что это может помочь вам восстановить только отдельные файлы на вашем компьютере.

  • Чтобы восстановить зашифрованный файл, вам нужно щелкнуть по нем правой кнопкой мыши;
  • Выберите “Properties”, а затем “Previous versions”;
  • Здесь, проверьте каждую копию файла “Folder versions”. Вы должны выбрать версию, которую вы хотите восстановить и нажать “Restore”.

Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от CryptoMix и других подобных приложений, используйте надежную антишпионскую программу, такую как Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus или Malwarebytes Anti Malware

О авторе

Jake Doevan
Jake Doevan - Жизнь слишком коротка, чтобы тратить ваше время на вирусы

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Источник: https://www.2-spyware.com/remove-cryptomix-ransomware-virus.html

Руководство по удалению на другом языке