Удаление вируса Thanatos (Инструкции по удалению) - Авг 2018 обновление
Руководство по удалению вируса Thanatos
Что такое Thanatos вымогатель
Thanatos — дешифруемый вирус-вымогатель, который активно распространяется вокруг
Thanatos — это вирус-вымогатель, который принадлежит к крипто семейству. Он написан на языке программирования Thanatos.pdb и в основном распространяется через вредоносные спам-сообщения электронной почты. Как только инфильтрация завершится успешно, вымогатель активирует полезную нагрузку и шифрует все файлы с помощью AES алгоритма, чтобы сделать файлы на зараженном компьютере недоступными. Чтобы отличить заблокированные файлы, вирус добавляет расширение файла .ANANATOS к целевым файлам и оставляет «README.txt», где жертвам говорят обратиться к хакерам по электронной почте c-m58@mail.ru и заплатить 0,01 BTC за ключ дешифрования.
Имя | Thanatos |
Тип | Вымогатель |
Файл расширение | .THANATOS |
Записка с выкупом | README.txt |
Эмейл | c-m58@mail.ru |
Сума выкупа | 0.01 BTC |
Распространение | Спам, незаконные программы, поддельные объявления |
Дешифрование | Загрузите бесплатно инструмент дешифрования Thanatos с GitHub |
Устранение | Загрузите и установите ReimageIntego или SpyHunter 5Combo Cleaner |
Thanatos впервые появился в феврале 2018 года и вскоре вернулся с обновленной версией позже в этом же месяце. По мнению исследователей, у самых авторов вымогателя не было дешифратора, поэтому о оплате выкупа не могла быть и речи. В конце июня 2018 года специалистам по безопасности от Cisco удалось взломать вредоносный код и создать бесплатный ThanatosDecryptor. Исследователям удалось найти уязвимость в процедуре шифрования, используемой вирусом.
Фокус в том, как вирус определяет ключ для каждого из зашифрованных файлов. Он основан на времени (в миллисекундах) с момента последнего запуска Windows. Используя журналы событий Windows, специалистам по безопасности удалось переконфигурировать ключ. Исследователи Cisco объяснили следующее:
Since Thanatos does not modify the file creation dates on encrypted files, the key search space can be further reduced to approximately the number of milliseconds within the 24-hour period leading up to the infection. At an average of 100,000 brute-force attempts per second (which was the baseline in a virtual machine used for testing), it would take roughly 14 minutes to successfully recover the encryption key in these conditions.
То, что делает Thanatos эксклюзивным от остальных вирус-вымогателей, — это типы криптовалюты, которые он принимает. Жертве разрешается передать выкуп в Ethereum, BitCoin и BitCoin Cash. Таким образом, это первый крипто-вымогатель, который принимает платежи через кошелек BitCoin Cash (BCH).
Сразу после атаки Thanatos вымогателя жертва больше не сможет открывать документы, изображения, мультимедиа, базы данных и другие файлы, хранящиеся на машине. Тем не менее, он или она должны увидеть файл «README.txt», который означает примечание о выкупе в каждой папке, содержащей заблокированные файлы. Файл предоставляет контактную информацию (c-m58@mail.ru или thanatos1.1@yandex.com) и кошельки криптовалюты:
Thanatos v1.1
Your files was encrypted. To decrypt your files,
follow next steps:1. Send $200 to one of these wallets:
BTC: 1HvEZ1jZ7BWgBYPxqCvWtKja3a9hsNa9Eh
ETH: 0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef
BCH: qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f2. Send your TXID and your MachineID to mail
E-Mail: thanatos1.1@yandex.com
Machine ID: {ID HERE}—————————————————
Do not waste your time, files can only be
decrypted by our decode tool.
Похоже, что разработчики Thanatos вымогателя улучшили его вскоре после того, как оригинальная версия начала атаковать жертв, потому что изначально мошенники предоставляли c-m58@mail.ru в качестве контактного эмейла и принимали выкуп 0,01 BTC. Однако версия вируса не изменилась. Эксперты обнаруживают, что одна и та же v1.1 распространяется, но будьте осторожны — он может предоставлять разнообразную информацию.
В примечании о выкупе говорится, что после оплаты платежа пользователи должны получить дешифратор по электронной почте. Правда в том, что никакого дешифратора нет. По мнению аналитиков вымогателя, этот вымогатель шифрует файлы, но не генерирует ключ дешифрования. Пока неясно, было ли принято окончательное решение о шифровании данных людей намеренно или случайно. Однако ясно, что вы не сможете расшифровать файлы, зашифрованные Thanatos вымогателем, даже если вы заплатите выкуп.
Таким образом, вы должны сосредоточиться на удалении Thanatos вместо того, чтобы рисковать своими деньгами. К сожалению, удаление вируса не приведет к восстановлению ваших файлов, но вы сможете снова использовать свой ПК. Если у вас есть резервные копии, просто подключите внешний накопитель после удаления вирусов и легко восстановите файлы.
Те, у кого нет резервных копий, должны использовать альтернативные методы восстановления данных, которые предоставляются в конце этого сообщения. Однако мы не можем гарантировать, что они сработают. Исследователи кибербезопасности утверждают, что самый эффективный, хотя и отнимающий много времени способ разблокировать файлы, скомпрометированные вымогателем, — это использовать алгоритм грубой силы. Для этого вам следует обратиться к ИТ специалистам.
Чтобы безопасно удалить Thanatos с компьютера, вы должны получить надежный инструмент для удаления вредоносных программ, например ReimageIntego или Malwarebytes. Если вы не можете установить программное обеспечение безопасности, следуйте приведенному ниже руководству. Имейте в виду, что из-за сложности вымогателя ручное удаление не рекомендуется.
Thanatos относится к самым сложным типам кибер-угроз. Следовательно, после атаки он мог установить многочисленные вредоносные файлы, вставить вредоносный код в законные системные процессы и вызвать другие изменения в системе, которые невозможно безопасно установить вручную.
Thanatos - это дешифруемый вирус, который пытается заставить жертв заплатить выкуп за зашифрованные файлы
Авторы вирусов, шифрующих файлы используют несколько методов распространения для заражения компьютеров
Обычно, вирус-вымогатели распространяются через вредоносные спам-письма. Таким образом, вредоносное ПО может проникнуть в систему, когда пользователь обманывается при открытии Word, PDF или ZIP-файла, который включает вредоносную полезную нагрузку. Однако специалисты по безопасности от DieViren.de также сообщают о других угрозах.
Вымогатель может распространяться как:
- поддельное обновление программного обеспечения, которое появляется во всплывающем окне при просмотре веб-страниц;
- незаконная или запутанная программа на сайтах или сетях обмена файлами;
- вредоносная реклама.
Поэтому вы должны быть осторожны с содержимым, на которое вы нажимаете или загружаете в интернете. Кроме того, чтобы избежать вымогателя устанавливайте последние обновления и надежное средство защиты.
Устранение вирус-вымогателяThanatos
Вначале мы упоминали, что вы не должны пытаться удалить Thanatos вручную. Мы хотим подчеркнуть, что только опытные ИТ-специалисты могут очистить ваш компьютер, не повредив его. Поэтому вместо того, чтобы находить файлы или записи в реестре, созданные вымогателем, вы должны выбрать автоматический метод удаления.
Автоматическое удаление Thanatos может быть выполнено с помощью любой профессиональной программы для удаления вредоносных угроз. Однако мы настоятельно рекомендуем использовать ReimageIntego или Malwarebytes. Если крипто-вирус устойчив и не позволяет запустить приложение безопасности, выполните следующие действия.
Руководство по ручному удалению вируса Thanatos
Удалите Thanatos, используя Safe Mode with Networking
Прежде всего, вы должны отключить вирус, чтобы удалить его автоматически без каких-либо препятствий.
-
Шаг 1: Перезагрузите компьютер для Safe Mode with Networking
Windows 7 / Vista / XP- Щелкните Start → Shutdown → Restart → OK.
- Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
-
В списке выберите Safe Mode with Networking
Windows 10 / Windows 8- В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
- Теперь выберите Troubleshoot → Advanced options → Startup Settings и нажмите Restart.
-
Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking.
-
Шаг 2: Удалить Thanatos
Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите ReimageIntego или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление Thanatos.
Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.
Удалите Thanatos, используя System Restore
Если предыдущий метод не помог удалить Thanatos вымогателя, выполните следующие действия:
-
Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt
Windows 7 / Vista / XP- Щелкните Start → Shutdown → Restart → OK.
- Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
-
В списке выберите Command Prompt
Windows 10 / Windows 8- В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
- Теперь выберите Troubleshoot → Advanced options → Startup Settings и нажмите Restart.
-
Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt.
-
Шаг 2: Восстановите Ваши системные файлы и настройки
-
После появления окна Command Prompt, введите cd restore и щелкните Enter
-
Теперь введите rstrui.exe и снова нажмите Enter..
-
После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению Thanatos. После этого нажмите Next.
-
Теперь щелкните Yes для начала восстановления системы.
-
После появления окна Command Prompt, введите cd restore и щелкните Enter
Бонус: Восстановите ваши данные
Руководство, представленное выше, должно помочь вам удалить Thanatos с вашего компьютера. Для восстановления зашифрованных файлов, мы рекомендуем использовать подробную инструкцию, подготовленную экспертами по безопасности bedynet.ru.Если ваши файлы зашифрованные Thanatos, вы можете использовать несколько методов, чтобы восстановить их:
Data Recovery Pro — альтернативный инструмент для восстановления поврежденных файлов
Тем не менее, это не официальный дешифратор; он может помочь восстановить некоторые файлы.
- Загрузить Data Recovery Pro;
- Следуйте шагам по Data Recovery Установите и настройте программу на вашем компьютере;
- Запустите ее и просканируйте ваш компьютер на файлы, зашифрованные Thanatos вымогателем;
- Восстановите их.
Воспользуйтесь преимуществами предыдущих функций Windows
If System Restore was enabled before Thanatos ransomware attack, you can follow the steps below and get back access to the most important files:
Если функция восстановления системы была включена до атаки Thanatos вымогателя, вы можете выполнить следующие шаги и получить обратный доступ к наиболее важным файлам:
- Чтобы восстановить зашифрованный файл, вам нужно щелкнуть по нем правой кнопкой мыши;
- Выберите “Properties”, а затем “Previous versions”;
- Здесь, проверьте каждую копию файла “Folder versions”. Вы должны выбрать версию, которую вы хотите восстановить и нажать “Restore”.
Используйте ShadoExplorer
Если вымогатель не удалил копии тома тени, вы можете использовать ShadowExplorer для восстановления зашифрованных файлов.
- Загрузите Shadow Explorer (http://shadowexplorer.com/);
- Следуйте настройкам Shadow Explorer, и установите это приложение на ваш компьютер;
- Запустите программу и зайдите в меню, в верхнем левом углу, чтобы выбрать диск с вашими зашифрованными данными. Также проверьте, какие там папки ;
- Правый щелчок на папку, которую вы хотите восстановить, и выберите “Export”. Также, вы можете выбрать куда вы хотите это восстановить.
Используйте бесплатный инструмент дешифрования Thanatos
Эксперты по безопасности от Cisco создали бесплатный ThanatosDecryptor. Загрузите его и восстановите файлы.
Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от Thanatos и других подобных приложений, используйте надежную антишпионскую программу, такую как ReimageIntego, SpyHunter 5Combo Cleaner или Malwarebytes