шкала интенсивности:  
  (97/100)

Вирус-вымогатель Sigma. Как удалить? (Руководство по удалению)

от Julie Splinters - - | Тип: Вымогательское ПО

Sigma — вымогатель, который продолжает распространяться и шифровать файлы в  2018 году

The screenshot of Sigma malware

Sigma — это угроза типа вымогатель, использующая RSA-2048 шифрование, и добавляющая случайное 4-символьное расширение файла к целевым данным. После шифрования данных он роняет ReadMe.html или ReadMe.txt файл, который перенаправляет на сайт оплаты выкупа. Самый распространенный способ заражения этой вредоносной программой — открыть вредоносное вложение электронной почты. Хотя эксперты по безопасности предупреждают, что в марте 2018 года была замечена новая спам-кампания, распространяющая вирус.

Описание
Имя Sigma
Тип Вымогатель
Имена обнаружения AV Trojan.Agent.CPOW, Trojan.Ransom.Shade!1.A988 (CLASSIC), Trojan.Generic.bcnxb etc.
Уровень опасности Высокий. Вымогатель изменяет важные процессы Windows, устанавливает вредоносные компоненты и шифрует файлы.
Симптомы Невозможность открыть и использовать файлы из-за неизвестного расширения файла.
Расширение файла Добавляет 4-символьное расширение файла.
Записка о выкупе ReadMe.html, ReadMe.txt
Файлы, связанные с вымогателем GUID.exe, GUID.txt, Automated Universal MultiBoot UFD Creation Tool.exe,

В настоящий момент вирус Sigma имеет низкий коэффициент обнаружения. Он распространяется под видом Automated Universal MultiBoot UFD Creation Tool.exe файла или Guid.exe.bin. Он обнаруживается как Trojan.Agent.CPOW,, Trojan.Ransom.Shade!1.A988 (CLASSIC), и т.д. Первый образец идентифицировался только одним средством безопасности, как Trojan.Generic.bcnxb. Учитывая прежнее альтернативное имя трояна и сам дизайн записки о выкупе, то можно предположить его отношение к угрозе Shade.

Кроме того, вирус также считывает технические данные компьютера, в частности RDP протоколы. Это также создает поддельный системный процесс для маскировки его деятельности. Интересно, что вредоносное ПО имеет функции анти-песочницы. Он маневрирует, чтобы избежать обнаружения. Если занятая система является естественной средой ОС, а не виртуальной машиной, вредоносное ПО подключается к http://ip.api/json.txt и отправляет данные о геолокации жертвы. Следовательно, удаление Sigma вымогателя необходимо для устранения повреждений устройства.

Однако основная задача вымогателя заключается в шифровании файлов на зараженном компьютере. Во время процесса он помещает файл ReadMe.html, который направляет пользователей на сайт онлайн-платежей. Он кратко информирует пользователей о зашифрованных данных. Он говорит им загрузить TorBrowser и войти на конкретную .onion страницу. Последняя представляет страницу под названием «Sigma вымогатель» и просит ввести GUID. Она также содержит ссылку для загрузки GUID помощника.

Sigma wallpaper

После завершения шифрования вредоносное ПО также изменяет фон рабочего стола. Сообщение настоятельно призывает пользователей найти файл «Readme» или посетить указанную .onion ссылку и ввести персональный ID номер, указанный в примечании о выкупе. На рабочем столе Sigma вымогатель также оставляет GUID.exe и GUID.txt файлы.

Говоря о сайте оплаты, он состоит из нескольких страниц. Одна из них указывает точное время, когда ваши файлы были зашифрованы. Она требует 1000$ за программное обеспечения для дешифрования. Если платеж не будет переведен в течение 7 дней, сумма выкупа удвоится. На той же .onion странице жертвам предлагается создать биткоин-кошелек.

Sigma payment website

Анализ Sigma вымогателя показал, что в отличие от стандартного вымогателя это криптозащитное средство не предоставляет адреса электронной почты, а вместо этого предлагает использовать учетную запись Xamp. Он также включает ссылку на руководство по установке Pidgin. Поэтому они свяжутся с исполнителем через  Sigmaxxx@jabb.im адрес.

Вместо того, чтобы соответствовать требованиям, удалите Sigma вымогателя. Вы можете сделать это с помощью Reimage или Plumbytes Anti-MalwareNorton Internet Security. Возможно, вам потребуется загрузить ваш компьютер в безопасном режиме. Дальнейшие инструкции указаны ниже. К сожалению, дешифратор для Sigma вымогателя пока недоступен. Однако вы можете попробовать альтернативные методы восстановления, которые также приведены в конце статьи.

The picture illustrating Sigma ransomware

Поддельные письма Craigslist были замечены в распространении Sigma вымогателя в марте 2018 года

Авторы Sigma вируса запустили новую кампанию malspam для распространения полезной нагрузки вредоносного ПО. На этот раз мошенники отправляют поддельные письма Craiglist, содержащие защищенные паролем документы Word или RTF. Конечно, эти документы включают исполняемый файл вымогателя.

Sigma ransomware is spread via malicious emails

Пользователей, открывающих зараженное письмо и вводящих пароль, просят включить контент в документе. Как только это будет сделано, запуститься вредоносный скрипт VBA. Сразу после нажатия кнопки «Включить контент», RAR загружается и извлекается в папку %Temp%. Эта папка содержит файл svchost.exe, который запускает вымогателя.

Sigma is downloaded from Word document

Поддельные отсканированные файлы включают исполняемый вредоносный файл

В то время как вредоносное ПО представляет собой подробные графические интерфейсы и сайты платежей, его кампания по распространению отличается от других вредоносных программ. Вредоносная программа Sigma поставляется, как «Scan_[number].doc» файл через спам вложение.

В сообщении электронной почты вкратце указывается, что получателю будет выставлен счет [сумма денег] на их личный баланс Mastercard. Чтобы избежать этого, нужно рассмотреть приложение. Оно также содержит код доступа. Однако ввод кода активирует Sigma вымогателя. Интересно, что хотя вредоносное ПО написано на английском языке, оно было обнаружено на греческих доменах.

Помимо спам-писем, пользователи должны также проявлять бдительность во время загрузки приложений. Обратите внимание на источник, из которого вы загружаете, сертифицирован ли он. Обратите внимание на этапы мастера установки, чтобы отменить выбор дополнительных и ненужных надстроек. Теперь перейдем к разделу устранения Sigma вымогателя.

Инструкции удаления Sigma вымогателя

Удаление Sigma необходимо для очистки компьютера и повторного его использования. К сожалению, устранение вирусов не помогает восстановить зашифрованные файлы. Тем не менее, вы можете попробовать стороннее программное обеспечение или использовать резервные копии, как только ваш компьютер будет чистым.

Вы можете сделать это с помощью инструмента устранения вредоносных программ, например Reimage, Malwarebytes Malwarebytes или Plumbytes Anti-MalwareNorton Internet Security. Если вы не можете запустить удаление Sigma вируса , выполните восстановление системы или перезагрузите компьютер в безопасном режиме. Только после устранения вредоносного ПО перейдите к восстановлению данных.

Продукты, которые мы вам рекомендуем на нашем сайте, могут быть связаны с нами. Подробнее в лицензионном соглашении. Загружая любое Антишпионское ПО для удаления Вирус-вымогатель Sigma, вы соглашаетесь с политика конфиденциальности и ползьовательское соглашение.
Сделать!
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Загрузить
Reimage (удалитель) Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Совместимость с OS X
Что делать, если не удалось?
Если вы провалили удаление инфекции Reimage, задайте вопрос нашей команде поддержки и предоставьте столько деталей, сколько возможно.
Reimage рекомендуется для деинсталляции Вирус-вымогатель Sigma. Бесплатное сканирование позволит Вам проверить заражен Ваш ПК или нет. Если хотите удалить вредоносные программы, то Вам нужно купить средство для удаления вредоносного ПО - лицензионную копию Reimage.
Более подробную информацию об этой программе можно получить из обзора Reimage.
Reimage в средствах массовой информации
Другие программы
Malwarebytes
Другие программы
Malwarebytes

Руководство по ручному удалению вируса Sigma:

О авторе

Julie Splinters
Julie Splinters - Специалист по удалению вредоносных программ

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Обратитесь к Julie Splinters
О компании Esolutions

Источник: https://www.2-spyware.com/remove-sigma-ransomware-virus.html

Руководство по удалению на другом языке