шкала интенсивности:  
  (99/100)

Вирус-вымогатель CryptoMix. Как удалить? (Руководство по удалению)

от Jake Doevan - - | Тип: Вымогательское ПО

Новый вариант CryptoMix был выпущен в и июле 2017 года

An image of CryptoMix virus

CryptoMix — это вирус шифрующий файлы был обнаружен весной 2016 года и обновлен с тех пор несколько раз. Экспертам по безопасности удалось разбить код нескольких вариантов и создать программное обеспечение для дешифрования. Однако киберпреступники выпустили новые версии вымогателя.

В июле 2017 года аналитики обнаружили новый вариант распространяющейся в интернете. Так же, как и предыдущие варианты CryptoMix Wallet и Azer вымогатели, недавно появившийся вирус Exte вымогатель еще не дешифруем. Таким образом, лучше принять меры предосторожности, чтобы избежать этих вирусов.

Это шифрующее вредоносное ПО скрытно проникает в компьютеры жертв с помощью спама. После этого, оно находит предопределенные файлы и шифрует их с помощью сложного алгоритма шифрования RSA-2048. Угроза добавляет к целевым файлам .email[supl0@post.com]id[\[[az0-9]{16}\]].lesli или .lesli  расширение.

Другие варианты могут помечать зашифрованные файлы CRYPTOSHIELD, .code, .revenge, .scl, .rscl.rdmk, .rmd, .wallet.azer, .Mole02, .EXTE и другими расширениями.

Когда файлы зашифровываются, вымогатель бросает записку с выкупом под названием INSTRUCTION RESTORE FILES.TXT, где жертв просят связаться с киберпреступниками через предоставленный адрес электронной почты (xoomx[@]dr.com и xoomx[@]usa.com), чтобы получить специальный ключ дешифрования, который обычно хранится в некоторой удаленной папке.

Обновленные версии используют разные имена для файлов с выкупом, такие как _HELP_INSTRUCTION.TXT, !!!HELP_FILE!!! #, # RESTORINGFILES #.HTML или                    # RESTORINGFILES #.TXT.

Чтобы получить доступ к ключу дешифрования, жертва должна заплатить значительную сумму денег. Однако, сначала вы должны позаботиться о CryptoMix, потому что он может легко зашифровать другую партию ваших файлов. Для удаления вымогателя требуется установка мощной программы для удаления вредоносных программ, например Reimage, и запуск полного сканирования системы.

Это шифрующая угроза похожа на CryptoWall 3.0CryptoWall 4.0 and CryptXXX. Однако, в отличие от этих вредоносных программ, CryptoMix утверждает, что собранная прибыль используется для благотворительности.

Разработчики вымогателя, называют себя Cham Team, также предлагают “бесплатную техническую поддержку” для тех, кто решил заплатить. Отложив все эти странные обещания, вы должны помнить, что вы имеете дело с настоящими киберпреступниками, поэтому нет необходимости следовать их командам и поддерживать их грязный бизнес.

Даже если вы решите заплатить выкуп в обмен на ваши файлы, вы должны принять во внимание, что вы можете не получить доступ к ключу дешифрования, который вам нужен, или сам ключ может быть поврежден.

Таким образом, мы не рекомендуем следовать инструкциям хакеров, представленным в файле INSTRUCTION RESTORE FILE.TXT. Это сообщение, требующее выкуп, появляется в каждой папке, содержащей зашифрованные данные

Говорят, что CryptoMix вирус шифрует поразительное количество типов файлов — 862. Таким образом, его невозможно игнорировать.

После связи с хакерами жертва отправляет ссылку и пароль на веб-сайт службы One Time Secret, который может использоваться для обмена анонимными сообщениями с хакерами. Сначала хакеры могут попытаться убедить жертву заплатить ради благотворительности. Конечно, мы не найдем человека, который готов заплатить выкуп 1900 долларов США в обмен на его или ее файлы.

Кроме того, киберпреступники могут начать угрожать вам удвоить выкуп, если он не будет оплачен в течение 24 часов. Самое интересное, что вы можете получить скидку после обращения к этим хакерам. В любом случае мы не рекомендуем идти так далеко.

Вы должны удалить CryptoMix вирус, как только заметите, что не можете получить доступ к своим файлам. Однако вы должны помнить, что удаление этого вируса не восстановит ваши файлы. Для этого вам нужно использовать шаги дешифрования данных, указанные в конце этого сообщения. Если вы еще не инфицированы, убедитесь, что ваши данные находятся в безопасном месте, прежде чем вымогатель заразит ваш компьютер.

Версии CryptoMix вируса

Вирус-вымогатель CryptoShield 1.0 . Этот недавно обнаруженный вирус разрастается на плохо защищенных и зараженных сайтах. Регулярные посетители торрентов и доменов для обмена фалов, являются целью этого вируса. Используя цепочку атак EITest, набор эксплойтов RIG загружаются весь необходимый контент для полного взлома CryptoShield.

После завершения подготовки угроза инициирует поддельные сообщения, чтобы обмануть пользователей, эти уведомления являются результатом обычных процессов Windows. Тем не менее, нетрудно увидеть мошенничество, поскольку уведомления содержат очевидные орфографические ошибки.

Интересно, что создатели решили объединить методы шифрования AES-256 и ROT-13 для блокировки данных пользователей. В то время как последний ужасно прост, первый по-прежнему вызывает головную боль для ИТ-специалистов. К сожалению, угроза может удалить копии теневого объема, которые несут возможность на восстановление данных для жертв. В любом случае, не рекомендуется платить выкуп.

.code вирус. Вредоносные программы распространяются через спам-сообщения с вредоносным электронным вложением. Когда пользователи открывают прикрепленный файл, вредоносная программа загружается в систему и запускает процедуру шифрования данных. Вирус использует алгоритм шифрования RSA-2048 и добавляет расширение файла .code .

Когда все целевые файлы зашифровываются, вымогатель бросает записку с выкупом под именем “help recover files.txt”, где жертв просят связаться с разработчиками через электронную почту xoomx_@_dr.com или xoomx_@_usa.com. Однако делать это не рекомендуется, потому что киберпреступники попросят передать до 5 биткойнов за ключ дешифрования. Это огромная сумма денег, и вы не должны рисковать потерять их. Лучше сначала удалить .code вирус.

Вирус-вымогатель CryptoShield 2.0. Эта версия почти не отличается от предыдущего варианта CryptoShield. После инфильтрации он начинает процедуру шифрования данных с использованием алгоритма RSA-2048 и добавляет CRYPTOSHIELD расширение к каждому целевому файлу.

Затем вредоносная программа создает на рабочем столе два новых файла, называемых # RESTORINGFILES #.txt и # RESTORINGFILES #.html. Эти файлы включают инструкции по восстановлению зашифрованных данных. В примечании о выкупе киберпреступники предоставляют несколько адресов электронной почты (res_sup@india.com, res_sup@computer4u.comorres_reserve@india.com) для тех жертв, которые готовы заплатить выкуп.

Однако делать это не рекомендуется. Если вы заразились этой версией CryptoMix, удалите вирус с компьютера и используйте резервные копии данных или альтернативные методы для восстановления ваших файлов.

Вирус-вымогатель Revenge. Этот вирус шифрующий файлы распространяется как троянец с помощью наборов RIG эксплойтов. После инфильтрации он сканирует систему, ищет целевые файлы, и шифрует их, используя AES-256 алгоритм. Как и его название, вредоносное приложение добавляет расширение .revenge к каждому поврежденному файлу и делает невозможным его открытие или использование.

Тем не менее, киберпреступники предоставляют инструкции, как получить обратный доступ к зашифрованным файлам в записке, которая называется # !!!HELP_FILE!!! #.txt. Здесь жертвам предлагается связаться с мошенниками через предоставленные адреса электронной почты: restoring_sup@india.com, restoring_sup@computer4u.com, restoring_reserve@india.com, rev00@india.com, revenge00@witeme.com, и rev_reserv@india.com.

Если люди решают сделать это (не рекомендуется), им предлагается передать определенное количество биткойнов, чтобы получить дешифровщика. Мы хотим отметить, что эта теневая сделка может закончиться потерей денег или другими вредоносными атаками. Кроме того, зашифрованные файлы могут быть недоступны.

Вирус-вымогатель Mole. Эта версия CryptoMix путешествует через вводящие в заблуждение электронные письма, которые сообщают о проблемах доставки USPS. Когда люди нажимают на ссылку или вложение, указанные в письме, они устанавливают исполняемый файл Mole в системе. На зараженном компьютере вредоносное ПО немедленно запускает процедуру шифрования и блокирует файлы с использованием ключа шифрования RSA-1024.

Чтобы сделать атаку еще более разрушительной, вредоносное ПО также удаляет темные копии. Таким образом, восстановление данных без специального программного обеспечения для дешифрования практически невозможно, если у жертв нет резервных копий. После шифрования данных, Mole вымогатель бросает примечание о выкупе
“INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT”, где жертвам сообщается о необходимости связаться с киберпреступниками в течение 78 часов.

Предполагается, что жертвы отправить свой уникальный идентификационный номер на почту oceanm@engineer.com или oceanm@india.com. Однако делать это не рекомендуется, потому что людям будет предложено передать огромную сумму денег и получить сомнительное программное обеспечение для дешифрования. После атаки вымогателя, жертвы сначала должны сосредоточиться на удалении вредоносных программ.

CryptoMix Wallet вирус-вымогатель. Этот вариант вымогателя использует AES-шифрование и добавляет расширение файла .wallet к целевым файлам, которые шифруются Wallet вымогателем. Однако вредоносное ПО также переименовывает файлы. Имя зашифрованного файла включает адрес электронной почты киберпреступников, ID жертвы и расширение файла: .[email@address.com].ID[16 уникальных символов].WALLET.

После того, как все файлы зашифрованы, жертвы получают фальшивое сообщение об ошибке приложения explorer.exe, которое должно обмануть жертв нажать кнопку “ОК”. При нажатии кнопки “ОК” запускается окно подсказки контроль учетных записей. Эти изменения не исчезнут, пока пользователи нажмут кнопку “Да”. После этого вредоносная программа начинает удаление темных копий.

Наконец, вредоносное ПО оставляет примечание о выкупе “#_RESTORING_FILES _ #. Txt”, где жертвам предлагается отправить их уникальный идентификационный номер на один из этих адресов электронной почты: shield0@usa.com, admin@hoist.desi и crysis@life.com. Затем киберпреступники предоставят стоимость программы для дешифрования. Однако доверять им не рекомендуется. Тем не менее, вымогатель все еще недешефруемый; мы не рекомендуем рисковать потерять деньги или заразиться другими вредоносными программами. После атаки используйте профессиональное программное обеспечение безопасности и удалите паразита с устройства.

Вирус-вымогатель Mole02. Mole02 — еще одна версия описанного семейства вымогателя, и она добавляет расширения файла .mole02 к зашифрованным записям. Он использует RSA и AES алгоритмы шифрования для безопасного блокирования файлов жертвы. Сначала вирус появился в июне 2017 года и успешно заразил тысячи компьютеров по всему миру.

Вирус использует _HELP_INSTRUCTION.TXT как записку с выкупом. Он сохраняет этот файл на рабочем столе, чтобы сообщить жертве о кибератаке и потребовать выкуп. Однако жертвам больше не нужно платить выкуп, если у них нет резервных копий данных. Эксперты по вредоносным программам выпустили бесплатный дешифратор Mole02, который восстанавливает поврежденные файлы абсолютно бесплатно.

Вирус-вымогатель Azer. AZER Cryptomix вирус это последняя версия этой группы вымогателей, которая появилась сразу после выпуска дешифратора Mole02. В новой версии использует [webmafia@asia.com].AZER или .-email-[donald@trampo.info.AZER расширение. Для маркировки зашифрованных данных. Вирус также повреждает исходное имя файла.

Записка о выкупе, выданная этим вирусом, называется _INTERESTING_INFORMACION_FOR_DECRYPT.TXT. Это очень краткое, и простое предложение написать на один из предоставленных электронных адресов, чтобы получить инструкции по восстановлению данных. Конечно, преступники не планируют бесплатно расшифровывать ваши файлы. Обычно они требуют выкуп, однако в настоящий момент его размер неизвестен. К сожалению, в настоящее время нет инструментов, способных расшифровывать .azer файлы.

Вирус-вымогатель Exte. Эта версия вымогателя появилась в июле 2017 года. Имя вируса показывает, что оно добавляет .EXTE расширение к зашифрованным файлам. После того как все целевые файлы заблокированы, вредоносное ПО загружает заметку о выкупе с именем _HELP_INSTRUCTION.TXT. Здесь жертвам предлагается отправить свой уникальный идентификационный номер на exte1@msgden.net, exte2@protonmail.com или exte3@reddithub.com почту и дождаться ответа с инструкциями по восстановлению данных.

В настоящее время размер выкупа неизвестен. Кажется, что авторы вымогателя сами решают суму выкупа, в зависимости от количества зашифрованных файлов. Несмотря на то, что официальный дешифровщик для Exte не выпущен, мы не рекомендуем платить выкуп.

Стратегии распространения вирус-вымогателей

CryptMix не имеет специальной технологии для проникновения в компьютеры. Вы можете заразиться этим вымогателем, нажав на подозрительные уведомления или загрузки, или вы можете получить его через P2P сети (одноранговые сети).

Однако чаще всего он загружается в систему как важное вложение электронной почты, например счет-фактура, бизнес-отчет или аналогичный документ. Известно, что некоторые версии вредоносных программ распространяются как уведомления об отправке фальшивых доставок. Таким образом, вы должны быть осторожны с электронными письмами и всегда дважды проверять информацию перед открытием любых прикрепленных файлов, ссылок или кнопок.

Поэтому важно не только получить мощную антивирусную систему и надеяться на лучшее, но и приложить все усилия, чтобы предотвратить CryptoMix на вашем компьютере. Различные версии вредоносных программ используют эксплойты и трояны для проникновения в систему. Чтобы защитить себя или свой бизнес, убедитесь, что вы:

  • Анализируете все электронные письма, которые вы получили от неизвестных отправителей;
  • Посвятите некоторое время для дополнительных исследований при работе с недавно загруженным программным обеспечением;
  • Проверьте надежность сайтов, которые вы решили посетить, чтобы предотвратить проникновение CryptoMix вымогателя.
  • Уделяете время для установки нового программного обеспечения, это также является важным фактором, который может помочь вам избежать проникновения троянских коней, используемых для переноса этого вируса.

Инструкции для удаления CryptoMix вируса

Это не только возможно, но просто необходимо удалить CryptoMix из зараженного устройства. В противном случае ваши будущие файлы также могут оказаться в опасности. Мы должны предупредить вас, что удаление вымогателей иногда может быть довольно проблематичным.

Эти вредоносные программы могут попытаться заблокировать ваш антивирус от сканирования системы. В этом случае вам, возможно, придется вручную управлять вирусом, чтобы ваша программа для борьбы с вирусами могла быть запущена. Как только это будет сделано, вы можете установить Reimage, Malwarebytes Malwarebytes или Plumbytes Anti-MalwareNorton Internet Security для очистки вашего ПК.

Вы найдете инструкции по удалению CryptoMix, подготовленные нашей командой экспертов в конце этой статьи. Кроме того, не стесняйтесь присылать нам сообщение, если вы столкнулись с проблемами, связанными с устранением этого вируса.

Продукты, которые мы вам рекомендуем на нашем сайте, могут быть связаны с нами. Подробнее в лицензионном соглашении. Загружая любое Антишпионское ПО для удаления Вирус-вымогатель CryptoMix, вы соглашаетесь с политика конфиденциальности и ползьовательское соглашение.
Сделать!
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Совместимость с OS X
Что делать, если не удалось?
Если вы провалили удаление инфекции Reimage, задайте вопрос нашей команде поддержки и предоставьте столько деталей, сколько возможно.
Reimage рекомендуется для деинсталляции Вирус-вымогатель CryptoMix. Бесплатное сканирование позволит Вам проверить заражен Ваш ПК или нет. Если хотите удалить вредоносные программы, то Вам нужно купить средство для удаления вредоносного ПО - лицензионную копию Reimage.
Более подробную информацию об этой программе можно получить из обзора Reimage.
Reimage в средствах массовой информации
Другие программы
Malwarebytes
Мы протестировали эффективность Malwarebytes в удалении Вирус-вымогатель CryptoMix (2017-08-21)
Другие программы
Malwarebytes
Мы протестировали эффективность Malwarebytes в удалении Вирус-вымогатель CryptoMix (2017-08-21)

Руководство по ручному удалению вируса CryptoMix:

О авторе

Jake Doevan
Jake Doevan - Жизнь слишком коротка, чтобы тратить ваше время на вирусы

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Обратитесь к Jake Doevan
О компании Esolutions

Источник: https://www.2-spyware.com/remove-cryptomix-ransomware-virus.html

Руководство по удалению на другом языке