Giúp khôi phục lại files.txt Virus cài mục tiêu từ Xa Bàn hoặc thiết bị đầu Cuối dịch Vụ Tấn công

 

Một tập tin mã hóa virus chúng tôi đang kêu gọi LowLevel04 hiện được mã hóa dữ liệu bằng MÃ hóa và sau đó yêu cầu một 4 Thông hoặc ~$1000 USD, ransom để có được các tập tin của bạn trở lại. Này, biến thể đã bị phát hiện đầu tiên trong ngày 2015 và dường như nó được mục tiêu từ Xa Bàn hoặc thiết bị đầu Cuối dịch Vụ hack. Rất tiếc, tại thời điểm này, cách duy nhất để phục hồi các tập tin của bạn là từ một bản sao lưu, bởi cố gắng Bóng khối Lượng Bản sao, hoặc bởi trả tiền chuộc. Nó được tin rằng virus này là một phần của một liên kết dựa virus gia đình mà thường thay đổi email liên quan đến việc tống tiền.

Dựa trên báo cáo tìm thấy trong chúng tôi giúp khôi phục lại files.txt virus hỗ trợ chủ đề này virus xuất hiện để được cài đặt trực tiếp của những kẻ tấn công những người bạo lực lượng yếu mật khẩu trên máy tính chạy Xa Bàn hoặc thiết bị đầu Cuối dịch Vụ. Nhiều người trong số các nạn nhân đã cũng được báo cáo rằng các máy ảnh hưởng đã máy chủ, đó làm cảm giác như kiểu tấn công này sẽ làm gián đoạn lớn cho một công ty. Từ những báo cáo chúng ta có được, và bằng cách phân tích một số mẫu, nó xuất hiện rằng một khi tấn công được quyền truy cập tới một máy tính mục tiêu, họ tải và cài đặt một gói mà tạo ra khóa mã hóa, mã hóa các dữ liệu, tập tin và sau đó ơn các tập tin khác nhau trở lại với hacker của mục tạm thời thông qua thiết bị đầu cuối dịch vụ khách hàng lái xe bản đồ \tsclient ctạm.

Phân tích của virus bởi Nathan Scott, một chúng tôi dân cư mật mã-virus rất kinh nghiệm, cho phép chúng tôi thấy những gì các virus đã làm. Khi virus thực thi là chạy, nó sẽ quét tất cả ánh xạ ổ đĩa, cả lưu động và các ổ đĩa mạng cho các tập tin dữ liệu để mã hóa. Khi nó gặp một tập tin rằng có một số file mở rộng, nó sẽ mã hóa chúng sử dụng MÃ mật mã và sau đó, thêm oorr. chuỗi khởi đầu của tên tập tin. Như một ví dụ, test.doc sẽ được đổi tên thành oorr.test.doc. Các danh sách của mở rộng đó là mục tiêu của điều này thật là:
 

Khi một tập tin được mã hóa nó sẽ được tái tạo lại như vậy mà nó có lớp khác nhau của thông tin đó có thể được sử dụng bởi những đôi để giải mã của các tập tin. Các lớp khác nhau, của những người mới tập tin được mã hóa được mã hóa nội dung của các tập tin gốc, bản gốc kích thước tập tin được mã hóa mã hóa chìa khóa, chìa khóa kích thước và cuối cùng, một lowlevel04 chuỗi xác định rằng đây là một tập tin đã được mã hóa bằng cách đặc biệt này nhiễm trùng. Các lớp của dữ liệu trong một tập tin được mã hóa được hiển thị sau.

 

Dạng của các dữ Liệu, Tập tin

Trong thư mục là một tập tin đã mã hoá, nhiễm trùng cũng sẽ để lại đòi tiền chuộc tập tin có tựa đề giúp khôi phục lại files.txt. Tập tin này sẽ có chỉ dẫn là một nạn nhân nên làm theo để trả tiền chuộc và nhận được một chương trình giải mã. Các địa chỉ email đang được sử dụng bởi những phần mềm độc hại được entry122717@gmail.comentry123488@india.com. Này đòi tiền chuộc là dưới đây.

 

Nhấn vào hình phóng to

 

Cuối cùng, khi các phần mềm đã hoàn thành quá trình mã hóa, nó sẽ thực hiện một dọn dẹp tất cả các tạo ra các tập tin và quét sạch họ. Nó cũng sẽ loại bỏ các ứng Dụng, An toàn và Hệ thống bản ghi sự kiện, vì vậy mà họ không thể được sử dụng để thực hiện pháp y về cuộc tấn công. Những lệnh được thực hiện để xóa các sự kiện bản ghi là:
 

Có khả năng một số tin tốt, mặc dù, như trong chưa đầy đủ mẫu chúng tôi đã có, những virus đã không hủy bỏ Bóng khối Lượng Bản hoặc an toàn xóa các tập tin ban đầu. Điều này có nghĩa là bạn có thể sử dụng một tin để phục hồi các tập tin của bạn hoặc một chương trình giống như Bóng Explorer để khôi phục lại các tập tin của bạn từ Bóng tối khối Lượng Bản sao. Thông tin về làm thế nào để khôi phục lại các tập tin của bạn từ Bóng tối khối Lượng Bản sao có thể được tìm thấy trong Duyệt hướng dẫn.

 

Ý kiến của bạn