Djvu virüsü - yeni sürümleri yayınlamaya devam eden en tehlikeli
kripto-gaspçı
Djvu, aynı zamanda .djvu dosyaları virüsü olarak da bilinir, en
önemli fidye yazılımı ailelerinden biri olan STOP'a ait bir kripto-kötü amaçlı
yazılım çeşididir. Enfeksiyonlar Aralık 2018'de yayılmaya başladı ve suşun
başarısı, geliştiricilerini operasyonlarını genişletmeye ve alt varyantları
düzenli olarak serbest bırakmaya teşvik etti.
Başlangıçta, Djvu fidye yazılımı dağıtımı hakkında çok fazla
bilinmemekle birlikte, araştırmacılar, kurbanların sözde yazılım çatlaklarını
veya keygenlerini indirip yürüttükten sonra virüsün sistemlerine girmesine izin
verdiğini fark ettiler. Bu araçlar, kullanıcıların genellikle kötü amaçlı
yazılımlarla yüklü olmalarına rağmen ücretli yazılımı ücretsiz kullanmalarına
izin verir. Bu çatlaklar ve hileler tipik olarak torrent sitelerinde
bulunur ve özellikle son sürümler için Djvu dağıtımı için ana vektör olarak
kalır. Kvag , .karl , .nesa
.
.Gero sürümüne ait daha yeni etkinlikler ve fidye yazılımı
örnekleri, virüs şifreleme işlemindeki değişiklikleri ortaya çıkardı ve önceden
bilinen şifre çözme aracı STOPDecrypter'in devre dışı bırakılmasıyla sona erdi . Üzerinde
belirtildiği gibi Ancak, bazı sürümleri deşifre edilebilir bu yazı . Virüs
bulaşmışsa, çok sayıda uzman ekibin virüsü kapatmak için gerçekten çok
çalıştığını unutmayın, böylece şifreli dosyaları ve kriptovirüs ile ilgili
diğer verileri bilgisayarınızda saklayabilir ve şifre çözme aracını
bekleyebilirsiniz.
DJVU RANSOMWARE HAKKINDA SORULAR
Djvu fidye yazılımı ana
makineye bulaşır bulaşmaz resimleri, videoları, müzikleri, belgeleri ve
diğer dosyaları kilitlemek için uygun bir AES veya başka bir
asimetrik şifreleme algoritması uygular . Kullanıcılar tüm
dosyalarına .djvus, .djvuu, .uudjvu, .tfunde ve diğer uzantılar eklendiğinde
enfeksiyonu hemen tespit edebilir. Hızlı bir sonuç elde etmek için, Djvu
ransomware çeşitli sistem dosyalarını değiştirir ve kurtarmayı önlemek için
Gölge Birim Kopyalarını siler.
|
|
|
|
|
.djvu, .djvus, .djvuu, .udjvu,
.uudjvu, .djvuq, .djvur, .pdff, .tro, .tfude, .tfudeq, .tfudet, .adobe,
.adobee, .blower, .promorad, .promock , .bufas, .dotmap, .sarut, .verasto,
.seto, .peta, .karl, .kvag, .nesa ve diğerleri
|
|
_openme.txt, _readme.txt
dosyaları, dosya şifreleme işleminden sonra masaüstünde görünür. Bu
fidye notları şifreleme ve daha fazla ayrıntı hakkında mesaj içerir
|
İletişim e-posta örnekleri
|
§
helpshadow@firemail.cc;
§
restoredjvu@firemail.cc;
§
gorentos@bitmessage.ch;
§
gerentoshelp@firemail.cc.
|
|
Dolandırıcılar 72 saat içinde
kendileriyle temasa geçerse dolandırıcılara fiyat için% 50 indirim uygulanır. Ancak,
bu suçlular ve kurbanlar arasında sahte güven oluşturmak için yaratılmıştır.
|
|
Virüs ayrıca gölge birim
kopyalarını siler, Windows kayıt defterini değiştirir, çeşitli işlemleri
başlatır / durdurur, zamanlanmış görevler oluşturur, vb.
|
|
Sahte e-posta ekleri, çatlaklar
ve keygenler, adware paketleri. Çoğu durumda, bu fidye yazılımı ailesi,
sürümlerini yazılım çatlak paketlerine (kırık yazılım, Video oyunları vb.)
Yerleştirilen virüslü dosyaları kullanarak torrent siteleri ve hizmetleri
aracılığıyla dağıtır.
|
|
Bazı sürümlerin şifresi
çözülebilir. İndir Bu aracı sizin
versiyonları .gero daha eski ise bunu kontrol etmek (doğrudan link).
Burada başka bir çözüm bulabilirsiniz. Bu yayında açıklanan araç, dosyalar çevrimdışı
anahtarlar kullanılarak şifrelenirken yardımcı olur.
Başka bir şifre çözme
seçeneği Dr.Web'in sunduğu hizmettir - Rescue Pack adlı bir
araç
|
|
Kullanım Reimage veya
başka bir güvenlik aracı virüs enfeksiyonu kurtulmak için. Kötü amaçlı
dosyalarla savaşmak ve virüs hasarını tamamen düzeltmek için kötü amaçlı
yazılım önleme programı gerekir
|
Şifreleme işlemi tamamlanır tamamlanmaz, kullanıcılara
genellikle _readme.txt veya _openme.txt adlı bir fidye notu verilir. Djvu
virüsünün arkasındaki bilgisayar korsanlarının mesajı, kurbanların ödeme (genel
bir kural olarak BTC'de 980 $ / 490 $ istendiğinde) işleme koyulur sağlanmaz
iddia ettikleri dosya kurtarma aracı için ödeme yapmak zorunda olduklarını
iddia ediyor.
İlk Djvu fidye yazılımı varyantlarından bazıları, Michael
Gillespie tarafından oluşturulan bir şifre çözme aracı olan STOPDecrypter ile
tamamen çözülebilir. Ancak daha sonraki varyantların çatlaması o kadar
kolay olmayabilir. Bununla birlikte, kötü amaçlı yazılım C&C
sunucusuyla bağlantı kuramadığında veya ana makinenin internet bağlantısı
kesildiğinde şifreleme işlemi gerçekleştirilmişse, sonraki sürümlerin kodu
bazen çözülebilir. Hangi Djvu virüsü versiyonundan etkilendiğinize
bakılmaksızın, fidye ödemek asla aldatılmaz, çünkü dolandırıcılık olasılığı
hakimdir.
Birkaç hafta boyunca internette yayıldıktan sonra, fidye
yazılımı Djvus virüs sürümü ile geri geldi. Virüs bulaşmış
bilgisayarda bulunan önemli belgeleri kilitlemek için benzersiz şifreleme algoritmaları kullanan
aynı dosya şifreleme virüsüdür . Bu durumda, bilgisayar korsanları
RSA şifreleme algoritmasını kullanır.
Her ne kadar yüksek deneyimli kullanıcılar için şifre çözme
işlemi zor olsa da (bu anahtarı tahmin edemez veya internette bulamazsınız),
suçluları ödemek için acele etmeye gerek yoktur. Bu insanlar genellikle
kurbanlarını sahte sözler vererek dolandırmaya çalışırlar. Bu makalenin
altında sağladığımız bazı veri kurtarma yöntemlerine göz atmanızı öneririz.
Hangi virüs sürümü ile uğraştığınız önemli değil, fidye uyarısı
aynı kalır. Mesaj gövdesinden de görebileceğiniz gibi, fidye notunda para
hakkında belirli bir ayrıntı verilmemiştir. Bununla birlikte, mağdurlar
şifrelenmiş verilerin şifresini çözmek için 350 ila 500 $ arasında ödeme
yapmaları istendiğini bildirdi:
———————— TÜM DOSYALARINIZ ŞİFRELİDİR —————————
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted
with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key
for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for
free.
But we can decrypt only 1 file for free. File must not contain valuable
information
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
——————————————————————————————————-
Bu yazılımı almak için e-posta
adresimize yazmanız gerekir: helpshadow@india.com
Bize
ulaşmak için e-posta adresinizi rezerve edin: helpshadow@firemail.cc
Kişisel kimliğiniz:
Djvu
fidye yazılımı gibi virüsleri yayan dolandırıcıların büyük olasılıkla sadece
kripto paralar için teşvik etme olasılığı vardır. En popüler talep edilen
para birimi, dünya çapında yaygın olarak kullanıldığı için Bitcoin . Hackerlar
bu tür fidye için ısrar ediyorlar, çünkü kripto para transferi herhangi bir
kişisel bilgi gerektirmiyor ve bu nedenle süreç tamamen izlenemez. Bu
dolandırıcıların yakalanma riski olmadan kurbanları kolayca dolandırmasını
sağlar.
Şifrelenmiş verilerinizi kurtarmak istiyorsanız, önce Djvu
ransomware virüsünü kaldırın. Bu eylemleri doğru sırada
gerçekleştirmezseniz, siber tehdit yine de bilgisayar sisteminde kalacağından
dosyalarınız bir sonraki bilgisayar önyüklemesinden sonra tekrar
şifrelenebilir. Bir dahaki sefere, verilerinizin güvenliğine uygun şekilde
baktığınızdan emin olun. Bir öneri, yalnızca sizin için erişilebilir olan
uzak bir sunucuda veya cihazda saklamaktır. Bu şekilde başka hiç kimse bu
verilere ulaşamaz.
Djvu ransomware kaldırma gerçekleştirmek çok dikkat gerektirir. Bu
nedenle, güvenilir anti-malware bilgisayar yazılımı sürecinden çıkmanız
gerekir. Ancak, PC sisteminde gizlenen bir tür kötü amaçlı dosya
olabilecek tüm kötü amaçlı yazılım yüklü içeriği algılamak için Reimage veya SpyHunter
5 gibi
bir program kullanmanızı öneririz . Tüm tehlikeli bileşenler
başarıyla kaldırılırsa, fidye yazılımı virüsü işlemden sonra bilgisayarınıza
geri dönmemelidir.
Djvu dosyaları virüsü hakkında bilmeniz gereken bir şey daha: bu
dosya dolabı, sistemin herhangi bir yerine kötü amaçlı bileşenler enjekte
edebilir, ayrıca, diğer kötü amaçlı yazılımların kolayca dağıtılması, Gölge
Birim Kopyalarının şifrelenmiş belgelerin silinmesi ve istenmeyen içerik
eklenmesi için Windows Kayıt Defteri. [4] Bu tehdidi tespit ettikten
sonra, en kısa sürede ondan kurtulduğunuzdan emin olun.
Djvu ransomware tarafından şifrelenmiş dosyaları kurtarmak için
denemek STOPDecrypter gelen DemonSlay335 . Araştırmacıya
göre, program tüm şifrelenmiş dosyaları kurtarmaya hazır değil. Şu anda,
yalnızca bu kişisel kimlik için çalışır: 6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0,
bilgisayarınız kapalıyken üretilir. İcat edilen numaraları eklemeye
çalışırsanız şifrelenmiş verilerinizin tamamen kaybolmasına neden olabileceğini
dikkate alın.
Djvu ransomware
enfeksiyon aşamaları
Djvu fidye yazılımı enfeksiyon ilerlemesi çok aşamalı ve
makinenin sistemine girer girmez gerçekleştirdiği birkaç adım var. Birincil
yürütülebilir dosya LocalAppData [5] içine yüklenir ve daha
sonra birkaç ek dosya indirir: 1.exe, 2.exe, 3.exe ve pdatewin.exe. Bu
yürütülebilir dosyaların tümü farklı işlevlere sahiptir:
§ 1.exe, Windows
Defender'daki çeşitli özellikleri ve işlevleri devre dışı bırakmak için
kullanılır. Ayrıca, dosya, Defender'ın gerçek zamanlı koruma özelliğini
devre dışı bırakan Script.ps1 adlı bir PowerShell betiği başlatır;
§ 2.exe, birden çok
güvenlik sitesi URL'si ekleyerek, kullanıcıların orada gezinmesini ve yardım
aramasını engelleyerek Windows HOSTS dosyasını değiştirir;
§ 3.exe'nin işlevselliği
henüz tanımlanmamış.
Bu işlemler tamamlandıktan sonra, Djvu fidye yazılımı C2
sunucusuyla iletişime geçerek bilgisayar korsanlarına kurbanların MAC
adreslerine dayanan benzersiz bir kimlik sağlar. [6] Uzak sunucu daha sonra tüm
kişisel dosyaları kodlamak için kullanılan şifreleme anahtarıyla yanıt verir. Veri
şifreleme sırasında, Djvu virüsü, kurbanın hiçbir şeyden şüphelenmemesi için
sahte bir Windows Güncelleme penceresi (pdatewin.exe tarafından oluşturulan)
başlatır.
Son olarak, virüs sürümüne bağlı olarak Djvu ransomware uygun
dosya uzantısını ekleyecektir. Örneğin, picture.jpg adlı bir dosya
picture.jpg.djvu biçimine dönüştürülecek ve kullanıcılar için erişilemez hale
gelecektir. Ayrıca, etkilenen klasörlerin her birine bir _openme.txt fidye
notu eklenir.
Şifreleme işlemi tamamlandığında, kötü amaçlı yazılım, Zaman
Ekleyici Görevi adlı yeni eklenen dosyaları periyodik olarak şifreleyen
zamanlanmış bir görev oluşturur.
Djvu virüsü sürümleri açıklandı
Djvu virüsü 2018'in sonlarında internette tespit edildi. Kötü
amaçlı yazılım araştırmacıları, onu STOP fidye yazılımı sürümlerinden biri
olarak tanımladılar. Ancak, yeni yılla birlikte, fidye yazılımı virüsü,
kullanıcıların dokunulmamış dosyalar arasında şifrelenmiş dosyaları bulmasına
yardımcı olmak için yeni dosya işaretleri kullanmaya başladı. Fidye notu
dosyası hala _openme.txt olarak adlandırılır ve şifrelenmiş verileri içeren her
klasöre yerleştirilir. Aşağıda her sürüm hakkında daha fazla bilgi
bulabilirsiniz:
Djvus virüsü
Djvus dosya fidye yazılımı Yeni Yıl'dan hemen önce çıktı. Virüs
geliştiricileri virüsü çok değiştirmemiş olsa da, e-posta adresinin
nowrestoredjvu@firemail.cc olduğunu görebiliriz. Ayrıca virüs,
geliştiricilerine 72 saat içinde ulaşanlar için% 50 indirim sunuyor. Ne
yazık ki, insanlar bu virüsü bilgisayar sistemlerinde, bulut hizmetlerinde ve
hatta tehlikeye atılmış sisteme çok fazla düşünmeden bağlanan sabit disklerde
bulduklarında çok sayıda durum bildirdiler. STOP fidye yazılımının bazı
sürümlerinin şifresi çözülebilirken, maalesef bu Djvus virüsüne uygulanmaz.
Djvuu virüsü
Djvuu fidye yazılımı Aralık 2018'de keşfedildi. Adından da
anlaşılacağı gibi, kullanıcıların kişisel verilerini etkilemek için daha önce
belirtilen uzantıyı ekliyor. Bir metin dosyasında görüntülenen fidye notu
hala _openme.txt olarak adlandırılır ve kurbanları bu suçlularla e-posta ve
iletişim adresleri aracılığıyla iletişim kurmaya teşvik eden mesajı görüntüler:
restoredjvu@india.com ve restoredjvu@firemail.cc. Djvuu virüsünün şifresi
çözülemez, bu nedenle şifrelenmiş verileri kurtarmak için dosyalarınızın
yedeklerini kullanmalısınız. Virüs, dosyaları yararsız hale getirmek için
RSA şifreleme yöntemini kullanıyor. Özel anahtarlar bilgisayar
korsanlarının sunucularında depolanır.
Uudjvu fidye
yazılımı
Uudjvu ransomware , ortak PirateBay kurulum
penceresini kullanarak hedeflenen sistemde görünen aynı Djvu virüsünün biraz
farklı bir sürümüdür ve bu şekilde daha sonraki dolandırıcılıklarda kullanmak
için çeşitli hesaplardan kullanıcının kimlik bilgilerini çalmaya çalışır. Geliştiriciler
bu değişkeni bir fidye talebi olmadan yarattı, ancak bilgisayardaki dosyalar
hala AES ve RSA karışımı kullanılarak şifreleniyor. Dosyaların etkilenen
kısmı .uudjvu dosya ekiyle işaretlenmiştir. Bilgisayarınızda daha fazla
hasarla bırakabileceğiniz için fidye yazılımı talepleri için bilgisayar
korsanlarına başvurmanızı önermiyoruz. Önce virüsü kaldırın ve ardından
dosyalarınızı kurtarmaya devam edin. Bu aşamada yedeklemeler veya üçüncü
taraf yazılımlar kullanın.
Djvuq Fidye Yazılımı
Djvuq ransomware ilk Djvu virüsüne daha benzer sürümlerden
biridir. Ayrıca algoritmayı kullanarak dosyaları şifreler ve kodlanmış
fotoğrafları, belgeleri ve hatta arşivleri .djvuq ile işaretler. Fidye
notu, bu durumda, fidye üzerindeki indirim anlaşması ile _openme.txt dosyasına
da yerleştirilir ve daha önce kullanılan iletişim e-postaları
restoredjvu@india.com ve restoredjvu@firemail.cc.
Udjvuq Fidye Yazılımı
Udjvuq dosyası fidye yazılımı da Aralık 2018'de önceki aynı
sürümleri izleyerek ortaya çıktı. Tehdidin arkasındaki siber suçlular hâlâ
gasp amaçlı şifreleme ve dosya işaretleme sürecine odaklanıyor. Bununla
birlikte, fidye notu dosyaları kurtarmanın tek yolu hakkında bilgi verir -
ödeme yapın. Geliştiricilere göre, diğer şifre çözme araçları size gerekli
sonuçları veremez, bu nedenle ilk 72 saat içinde onlarla iletişime geçtiğinizde
fidye için yarı yarıya verir. Aynı e-posta adreslerinin yanındaki bu
ayrıntılar _openme.txt dosyasında teslim edilir.
Tfude Ransomware
Tfude ransomware Djvu virüsünün sayısız sürümlerinden
biridir. Ayrıca çeşitli sürümlere (.tfude, .tfudeq, .tfudet) bölünen
virüs, bilgisayarların korumasının üstesinden gelmeye ve kötü amaçlı
yürütülebilir dosyasını yüklemeye çalışıyor. Etkinleştirildiğinde, kötü
amaçlı yazılım dosyaları şifreler ve _openme.txt fidye notunu düşürür. Ne
yazık ki, bilgisayarınız çevrimdışı olsa bile, virüs yine de dosyalarınızın
şifrelemesine devam edebilir.
Ayrıca, siber suçlular dosyaların şifresini çözmek için
pdfhelp@india.com veya pdfhelp@firemail.cc e-posta adreslerini kullanmayı istiyor. Ancak,
bu suçlularla herhangi bir temasta bulunmak para kaybına neden olabilir. Kişisel
kimliğiniz bu numaralardan oluşuyorsa, bu yazının sonunda verilen şifre
çözücüyü kullanabilmeniz gerekir:
6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0
PDFF Fidye Yazılımı
Pdff fidye yazılımı ayrıca dosyaları şifrelemek için AES
şifreleme algoritması kullanır ve ilk olarak Ocak 2019'da Orta Doğu'dan
bilgisayar kullanıcılarına saldırdı. Bununla birlikte, fidye notu
_openme.txt İngilizce dilinde yazılmaya devam eder ve Djvu dosya virüsü
enfeksiyonu için tipik olan neredeyse aynı metni içerir.
Ancak, bu sefer dolandırıcı kullanıcılardan pdfhelp@india.com ve
pdfhelp@firemail.cc e-posta adresleri aracılığıyla onlarla iletişim kurmalarını
ister. Önceki varyantlardan başka bir fark, eklenen dosya uzantısı - .pdff
gibi görünüyor. Bu sürümün şifresi henüz çözülemese de, Pdff fidye
yazılımını kaldırmanızı ve alternatif dosya kurtarma yöntemleri kullanmanızı öneririz.
Tro ransomware
Tro ransomware Pdff ransomware çıktıktan sadece bir gün
sonra web üzerinde gözlendi. Çatlaklar, keygenler veya adware uygulamaları
içeren birlikte gelen yazılım yardımı ile dağıtıldığı tespit edildi.
Virüs makineye girer girmez, mevcut tüm verileri (sistem
dosyalarını atlayarak) güvenli bir şifreleme algoritması yardımıyla şifreler ve
.tro dosya uzantısı ekler. Bu kez, fidye notu _openme.txt olarak
adlandırıldığı ve iletişim e-postaları pdfhelp@india.com ve pdfhelp@firemail.cc
olduğu için, uzantı önceki sürümleriyle karşılaştırıldığında tek fark gibi
görünüyor.
Adobe fidye yazılımı
.adobe dosya uzantısı ilk olarak rezil bir Dharma fidye
yazılımı tarafından tanıtıldı . Ancak, Djvu ransomware kurbanın
dosyalarını şifreledikten ve işe yaramaz hale getirdikten sonra bu uzantıyı
kullanmaya başladı. Bir süre sonra .adobee olarak değiştirildi. Virüs
hala kurbanlar tarafından fidye için korsanlarla iletişim kurmak için
kullanılması gereken varsayılan e-posta adresi olarak pdfhelp@firemail.cc
kullanıyor.
Ne yazık ki, önceki sürümlerden bazıları STOPDecrypter
kullanılarak kurtarılabilirse de, .adobe bu aracın veritabanına henüz
eklenmedi. Etkilenirse, bu gönderiyi kontrol etmeye devam edin ve
güvenlik araştırmacılarının yakında bu kötü amaçlı yazılım için bir tedavi
bulacağını umuyoruz.
Adobee Fidye Yazılımı
Gördüğümüz gibi, Djvu ransomware'in diğer sürümlerinde çok fazla
var, siber suçlular son zamanlarda başka bir varyant yayınladı. Bu, Adobe
fidye yazılımına aşinadır, ancak iki e'ye (Adobee) sahiptir. Aynı çalışma
prensibine sahiptir. Kurulduktan sonra, fidye yazılımı virüsü sisteme kötü
amaçlı içerik enjekte eder ve şifrelemeyi gerçekleştirir. Bundan sonra,
dosyalar .adobee ekiyle görünür ve herhangi bir erişimden engellenir.
Ek olarak, Adobee fidye yazılımı, diğer Djvu sürümlerinde olduğu
gibi, _openme.txt adlı bir fidye mesajı sağlar. Not, Not Defteri'nde
görünür. Crooks, şifre çözme aracını almak için biraz para istiyor. İletişim
kurmanın bir yolu olarak pdfhelp@india.com ve pdfhelp @ firemail.cc e-posta
adreslerini sağlarlar.
Blower Fidye Yazılımı
Blower ransomware PC gibi diğerlerinin gibi gizlice
girebilirsiniz, örneğin, enfekte köprüler, zararlı ekler, vb. Yüklendikten
sonra, sisteme haydut ve zararlı içerik enjekte edilir ve veri şifreleme gibi
kötü amaçlı aktiviteler gerçekleştirilir.
Blower, şifrelenen her dosyaya .blower dosya uzantısını ekliyor. Bu
fidye yazılımı virüsü, görüntüler, ses dosyaları, video, metin belgeleri,
veritabanları, excel sayfaları, powerpoint ve diğerleri gibi her türlü veriyi
kilitleyebilir. Şifreleme gerçekleştirildikten sonra, dolandırıcılara
_readme.txt adlı bir kısa mesajla kullanıcılarını bildirir. Bu mesajda iki
e-posta sağlanmıştır: blower@india.com, blower@firemail.cc. Bu zalim
insanlarla herhangi bir temastan kaçınmanızı öneririz.
Norvas Ransomware
Norvas virüsü , parayı dünya çapındaki
kullanıcılardan dolandırmak için aynı _readme.txt fidye notunu kullanan bir
kripto-kötü amaçlı yazılımdır. Bu kolay bir iştir, çünkü virüs daha önce
hedef dosyaların kodunu değiştirir ve etkilenen her veri parçasına .norvas adlı
özel uzantıyı ekler. Bu durumda dosyalar işe yaramaz hale gelir ve daha
önce olduğu gibi kullanılamaz.
Norvas ransomware geliştiricilerine vengisto@india.com ve
vengisto@firemail.cc e-posta adreslerinden ulaşılabilir. Ayrıca, 24 saat
içinde iletişime geçildiklerinde fidye için% 50 indirim sağlamayı teklif
ederler. Ancak, kullanıcıların paralarını çalan kötü dolandırıcı olduğu
için bu insanlara inanmayın.
Grovat fidye yazılımı
Grovat , AES-256 şifreleme kodunu kullanarak kullanıcıların
verilerini işe yaramaz hale getirir. Ayrıca, mağdurun şifre çözme kodu
karşılığında gizli bir bitcoin cüzdanına özel bir ödeme yapması gerekmektedir. Kullanıcıların
genellikle işaret ettiği e-posta adreslerine merosa@india.com veya
merosa@firemail.cc adı verilir. Bu adresler siber suçlularla iletişim
kurmak ve ödeme için bitcoin adresini almak için kullanılmalıdır. Ancak,
bu kişilerle herhangi bir temas kurmanızı ÖNERMİYORUZ.
Her kullanıcı için atanan şifre çözme koduyla birlikte benzersiz
bir tanımlayıcı oluşturmak için kötü amaçlı yazılım C&C sunucusuyla
iletişim kurar. Fidye notu, diğer Djvu sürümleri tarafından kullanılan
diğerleri gibi çağrılır - _readme.txt. Siber suçlularla iletişim kurmak
yerine, bu kötü amaçlı yazılıma ait tüm dosyaları kaldırmalısınız. Dosyalarınızı
kurtarmak için STOPDecrypter kullanmayı deneyebilirsiniz .
Verasto Ransomware
Verasto ilk olarak Nisan 2019'un sonunda
tespit edildi ve piyasaya sürülmesinden bu yana tüm dünyada yüzlerce
kullanıcıya bulaşıyor , bugüne kadar en yaygın Djvu virüsü
varyantlarından biri olmaya devam ediyor.
Tıpkı öncekiler gibi Verasto fidye yazılımı da dahil olmak üzere
çeşitli yayılma tekniklerini kullanıyor:
§ Spam e-postaları;
§ Kahramanlık;
§ Yazılım çatlakları veya
keygenleri;
§ Sahte güncellemeler;
§ Arka kapı, vb.
Sızma işleminden sonra, kötü amaçlı yazılım, cihazı tarar .jpg,
.mpeg, .xlsx, .html, .zip, .php ve diğerleri gibi en popüler dosya türlerini
arar ve .verasto işaretleri ekler. Bununla birlikte, virüs en önemli
sistem dosyalarının (belirli işletim sistemi dosyalarını ve ayarlarını
değiştirmesine rağmen) değerli olmadıkları için çalıştırılabilir dosyalarla
şifrelenmesini önler.
Ne yazık ki, bu şekilde kilitlenen veriler, bilgisayar
korsanları tarafından kontrol edilen uzak bir sunucuda güvenli olan benzersiz
bir anahtar gerektirir. Bitcoins'de 980 $ / 490 $ ödeme için bir şifre
çözme aracı sunuyorlar. Uzmanlar, suçluları ödemekten kaçınmayı
önermektedir, çünkü dolandırıcılık şansı oldukça yüksektir. Bunun yerine,
Verasto ransomware'i kaldırın ve aşağıdaki talimatlara göre alternatif veri
kurtarma yöntemleri kullanın.
Hrosas Ransomware
Nisan 2019'da çıkan ailenin birçok versiyonundan biri olan Hrosas
fidye yazılımı hala önceki sürümlerle aynı e-postaları içeriyor. vengisto@india.com,
vengisto@firemail.cc bu virüsün arkasındaki insanlarla iletişim kurmak için
birincil yöntem olmaya devam ediyor ve suçlular başka bir yöntem sağlıyor -
Telegram hesabı.
Ayrıca, bu aile için tipik olarak, fidye notu _readme.txt metin
dosyasına gelir ve kibarca indirim teklifiyle ödeme yapmanızı ister. Bu
sürümün yanı sıra, araştırmacılar aynı gün .kiratos uzantısını kullanarak
verileri işaretleyen bir dosya soyunma virüsü keşfettiler, ancak çok fazla
örnek ortaya çıkmadı ve diğerleri kadar yaygın olmayabilir.
Todarius Fidye Yazılımı
Bir süredir bilindiği gibi, STOP şifre çözme aracı, bu Todarius
fidye yazılımı varyantının öncekileri de dahil olmak üzere
birçok sürüm için çalıştı . Bununla birlikte, birçok kullanıcı raporu
ve örnek analizi, sürümde bir yama olduğunu ortaya koydu, bu yüzden maalesef
şifre çözme mümkün değil.
STOP şifre çözücü çalıştırıldıktan sonra, uzantı .kiratos olarak
değişir ve 0 dosya şifresi çözülür. bu aracın birkaç güncellenmiş sürümü
ile olur, bu nedenle .todarius dosya uzantısı işaretli dosyaların şifresi
çözülemediğini söylemeye izin verilir. Bu ve gorentos@bitmessage.ch
karmasına eklenen yeni e-posta, varyant için tek benzersiz özelliktir.
Hofos Fidye Yazılımı
Hofos fidye yazılımı Todarius versiyonundan kısa süre
sonra geldi, aynı zamanda aktif olmayan .dutan ve .roldat versiyonları gibi. Bununla
birlikte, Hofos dosya virüsü, kullanıcı örneklerinin gösterdiği gibi, yine
diğerlerinden biraz daha benzersizdi. Djvu ransomware'in 74. sürümünü
işaretlerken, zaten bilinen aynı fidye not dosyası _readme.txt ve yakın zamanda
yenilenen e-posta adresleri ile birlikte gelir - vengisto@firemail.cc,
gorentos@bitmessage.ch.
Kötü amaçlı yazılımın dağıtımı, genel torrent sitelerine
yayılmış yazılım paketleri içerir. Birden fazla kullanıcı, belirli altyazı
paketlerinin ve Sony Vegas 16 eklentisinin kötü amaçlı bir yük içeren bir
yürütülebilir dosya sunduğunu bildirdi. Bu sürüm muhtemelen Djvu
yaratıcıları için bir eğilim başlattı, çünkü .hofos ana vektörü çatlaklar ve
diğer korsan veriler olarak kaldı.
Sarut Ransomware
Mayıs ayının ilk sürümü olan Sarut fidye yazılımı .fedasot,
.berost, .forasom, .fordan gibi diğer varyantlarla birlikte geldi. Birkaç
kişi karışıma başka bir e-posta ekledi - mosteros@firemail.cc zaman zaman
sonraki sürümlerde kullanıldı, ancak birincil iletişim e-postası olarak değil.
Adından da anlaşılacağı gibi, bu sürüm bir .sarut dosya
işaretleyicisi ile dosyaları şifreler ve geliştiriciler hala dosya kilitleme
için çevrimdışı anahtarları kullanır, bu nedenle birçok kurban dosyalarını STOP
decrypter ile geri alabilir. Djvu geliştiricileri, kurbanlardan kazanılan
paraları üzerinde uyuyor ve kodlamada önemli değişiklikler yapmadan bu sürekli
sürümlere odaklanıyorlardı.
Ferosas Fidye Yazılımı
Aynı zamanda benzersiz versiyonlarla değil .codnat, .codnat1,
.bufas, .dotmap, .radman ve .rectot , Djvu ailesinde STOP şifre
çözme aracıyla veya başkalarıyla kolayca çözülemeyen başka bir sürüm olan Ferosas
fidye yazılımı çıktı programcılar veya araştırmacılar tarafından
sunulan programlar.
Bu sürümler, daha nadir bulunan bufalo@firemail.cc,
gorentos@bitmessage.ch içeren iletişim e-postalarının bir karışımını
içeriyordu. Ancak, aynı fidye notu, fidye miktarı ve şifreleme yöntemleri,
bu yüzden çevrimdışı anahtarlar hala dosyaların veya en azından bazılarının
şifresini çözmek için yardımcı olur. Dağıtım, yazılım çatlaklarına ve
torrent dosyalarına odaklanmaya devam ediyor. Belirli sürümlerin Sony
Vegas uygulama çatlakları ve diğer yazılımlarla paketlere dahil edildiği
bildirildi.
Skymap ransomware
Skymap fidye yazılımı yaz aylarında .mogera, .rezuc,
.stone, .redmat, .lanset, .davda, .poret ile birlikte çıktı. Bunlardan
birkaçı diğerlerinden daha aktif hale geldi ve stoneland@firemail.cc adresinden
yeni bir iletişim e-postasından tanımlanabilir. Ancak .skymap, kullanıcı
örnekleri ve raporları nedeniyle araştırmacılardan daha fazla dikkat çeken
oydu.
Bununla birlikte, bu tüm sürümlerin şifresi çözülebilir, çünkü
geliştiriciler çoğunlukla şifreleme için çevrimdışı anahtarlar kullanırlar. Yine
de, ana vektör torrent numaraları aracılığıyla teslim edilen seri numaraları,
çatlaklar ve diğer yasadışı dosyalar olarak kalır.
Heroset Fidye Yazılımı
Temmuz, Djvu fidye yazılımı için en büyük ay değildi,
çünkü Heroset fidye yazılımı ve .pidon, .boston, .muslat,
.gerosan, .vesad, .horon, .neras, .truke varlıkları neredeyse aynıdı. gorentos@bitmessage.ch,
ferast@firemail.cc e-postaları, _readme.txt fidye notu ve 980 ila 490 $ 'a
düşürmek için aynı indirim teklifi aynı kaldı.
Sürümler daha kalıcı gibi görünse ve sistem klasörlerindeki tüm
değişiklikleri yapıyor olsa da, gerekli güncellemelere sahip STOP Decrypter
çevrimdışı anahtarlar kullanılarak kilitlenen dosyalar için mükemmel çalışır. Ancak,
bu süre zarfında Djvu'nun şifreleme işlemlerinin yanı sıra ikincil bir yük
olarak AZORult kötü amaçlı yazılımını sağladığı ortaya çıktı.
Litar Ransomware
2019 yazında, fidye yazılımı dünyasında nadir görülen Djvu
virüsü için büyüktü, çünkü geliştiriciler çoğunlukla sezon boyunca
dinleniyorlar. Ancak, Litar fidye yazılımı ve .dalle,
.lotep, .nusar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad,
.berosuce, .gehad, .gusau hepsi bir süre içinde serbest bırakıldı Üç
hafta.
Bazıları diğerlerinden daha popüler olmasına rağmen, tüm şifre
çözme aracının uygun bir sürümü ile şifresi çözülebilir. Geliştiriciler
hala “endişelenmeyin” diyerek insanları sakinleştirmeye çalışıyorlar, ancak
fidye ödemenin dışında başka seçenek olmadığı iddiasıyla onları korkutuyorlar. Bu
noktada, çevrimdışı anahtarlar kullanılarak kilitlenen dosyalar için şifre
çözme mümkündür ve istenen miktarda panik yapmanıza veya ödemeye gerek yoktur.
Madek Ransomware
Madek fidye yazılımından başlayarak , içerik
oluşturucular Ağustos ayının sonuna kadar her gün yeni bir sürüm yayınladı. Yeni
bir şey geliştirmeyen suçlular, Michael Gillespie tarafından geliştirilen şifre
çözme aracıyla olumlu sonuçlar nedeniyle mümkün olduğunca çok sistemi enfekte
etmek istediler. Her zamanki gibi pek çok şey değiştirilemez. Gorentos@bitmessage.ch,
varasto@firemail.cc, dosya işaretleyicilerinin bu sürümleri için hala
varsayılan iletişim e-postaları olarak kalır:
§ .ipucu vermek
§ .darus
§ .lapoi
§ .todar
§ .dodoc
§ .bopador
§ .novasof
§ .ntuseg
§ .ndarod
§ .Giriş
§ .biçim
§ .nelasod
§ .mogranos
§ .cosakos
§ .nvetud
§ .lotej
§ .kovasoh
§ .prandel
§ .zatrov
§ .masok
§ .brusaf
§ .londec
§ .krusop
§ .mtogas
§ .nasoh
§ .coharos
§ .nacro
§ .pedro
§ .nuksus
§ .vesrato
§ .cetori
§ .masodas
§ .stare
§ .carote
§ .shariz
Gero Ransomware
Son birkaç hafta, geliştiriciler için son derece aktif olmasına
rağmen, sürümlerin şifresi yine çözüldü. Ancak, Gero ransomware sürümü
her şeyi değiştirdi. Şifreleme yöntemi ve kodlama değiştirildi ve
geliştiriciler uygun asimetrik dosya kilitleme algoritmasını kullanmaya
başladı. Bu gerçek, çoğu durumda çevrimdışı anahtarların kullanılamaması
nedeniyle STOP virüs şifresini işe yaramaz hale getirdi. Bu süre zarfında,
gorentos@bitmessage.ch, gerentoshelp@firemail.cc ana olarak kullanılmaya
başlandı ve tek iletişim e-postaları, fidye notu değişmedi ve dosya _readme.txt
olarak kaldı.
Kvag Ransomware
Kvag fidye yazılımı tüm bu değişikliklerden sonra
ortaya çıktı ve sitemizdeki kullanıcı raporlarına dayanarak son derece aktif
hale geldi. Ancak önceki sürümler .hese, .seto, .peta, .moka ve .meds aynı
zamanda insanların bilgisayarlarını da şifrelemiştir. Tüm bu örnekler ve
raporlar sayesinde, biz ve diğer araştırmacılar Djvu içerik oluşturucuları
tarafından yapılan en yeni değişiklikleri araştırabiliriz.
Yine, insanlar dosyalarına ve yasadışı alışkanlıklarına dikkat
etmezler, bu nedenle fidye yazılımları torrent dosyaları aracılığıyla sessizce
yayılır. Bazılarınız, çatlakların ve Rus dosya paylaşım sitelerinin fidye
notuna yol açtığını belirttiniz. Uygun şifre çözme aracı geliştirilinceye
kadar uzun bir bekleme süresi olduğundan, virüsle ilgili tüm dosyaları harici
bir cihazda depolamalı ve verilerinizi geri yükleme olasılığını beklemelisiniz.
Karl Ransomware
Karl Ransomware .domn virüs sürümü ve
araştırmacılardan daha fazla seçenek ile geldi. Değiştirilen dosya
kilitleme yöntemi, STOP-Decrypter'i devre dışı bırakmak ve dosya kurtarma
hizmetini sonlandırmaktan başka seçenek bırakmadı. Ancak, diğer
araştırmacılar analizlerini yaptılar ve şimdi başka hizmetler sunabiliyorlar.
Çevrimdışı anahtarların hala kullanıldığı bazı nadir durumlarda,
şifre çözücüyü kullanmayı deneyebilir veya araştırmacılar tarafından sunulan
diğer hizmetlere güvenebilirsiniz:
§ Çevrimdışı anahtarlar
kullanılarak şifrelenmiş verileri olan kişiler için burada bir şifre
çözme seçeneği vardır .
§ Dr.Web ayrıca Rescue
Pack adında bir araç ve kullanıcı başına 150 avroya mal
oluyor.
Nesa Ransomware
Nesa ransomware hala AZORult kötü amaçlı yazılım
sunuyor ve depolanan verileri ve web tarayıcılarından bilgi çalmak için
ayarlanmış modülleri bırakmak gibi sistemdeki tüm değişiklikleri yapıyor. Ancak
tehdit, bizimki gibi sitelere erişmenizi ve saldırıdan kurtulmak için diğer
yöntemleri aramanızı engelleyen sistemdeki host dosyasını bırakır. Bunun
için bu konuma gidin ve “hosts” dosyasını bulun: C: \ Windows \ System32 \
drivers \ etc. Yönetici izinlerini kullanarak tamamen silin.
Yukarıda bahsedilen hizmetler bu varyant için çalışabilir ve
ayrıca bu sitelerde şifre çözme aracı için arama yapabilirsiniz:
Fidye yazılımı virüsleri
spam iletileri, yazılım çatlakları ve reklam yazılımı paketleri aracılığıyla
dağıtılır
LosVirus.es'ten siber güvenlik uzmanlarına göre, fidye
yazılımı enfeksiyonları bilgisayarda açılan bir spam mektubu veya eki nedeniyle
görünebilir. Dolandırıcıların bıraktığı bazı e-posta mesajları, mektubun
içine yerleştirilmiş tehlikeli bir bağlantı veya e-postaya kırpılan şüpheli bir
ek içerebilir. Tüm şüpheli e-postaların farkında olun, açmayın ve herhangi
bir şekilde kötü amaçlı veya şüpheli görünüyorlarsa.
Ayrıca, e-posta iletisi çeşitli dilbilgisi hataları içeriyorsa
ve tanınmayan bir gönderenden geliyorsa bir şeyin yanlış olduğunu
algılayabilirsiniz. Ancak, hepsi bu şekilde görünmüyor. Bazı
dolandırıcıların dünya çapındaki kuruluşlardan olduğu iddia ediliyor. Bu
nedenle, son zamanlarda önemli bir şey almayı beklemediyseniz, mesajlara
erişmemeniz daha iyi olur. Yapmanız gereken, gerekiyorsa doğrudan şirketle
iletişim kurmaktır.
Ayrıca, bazı durumlarda, fidye yazılımı virüsleri üçüncü taraf
ağlar üzerinden dağıtılabilir. İkincil kaynaklardan gelen tüm sayfalarda
genellikle gerekli koruma yoktur ve güvenlik gereksinimlerine uymaz. Bu,
fidye yazılımı gibi tehlikeli kötü amaçlı yazılımlardan etkilenme riskinin
yüksek olmasına yol açar. Web'de gezinirken karşılaşabileceğiniz orijinal
olmayan sayfalardan ve şüpheli köprülerden kaçınmanızı öneririz.
.Tro dosya uzantısı ile, fidye yazılımı “çatlaklar” ve
“keygenler” yardımıyla dağıtıldı. Bu dosyalar, orijinal yazılımı lisanslı bir
sürüm olarak gerçekleştirmek için kırmak için kullanılır. Bu tür
faaliyetler oldukça yasa dışıdır ve kullanıcılar yakalanırlarsa para cezaları
ve yasal işlemlerle karşılaşabilirler. Ayrıca, PC'ye fidye yazılımı ile
bulaşma riski, programları kırma dürtüsünü azaltmalıdır.
Son olarak, araştırmacılar virüsün de adware programları ile
birlikte yayıldığını söyledi. İstenmeyen uygulamaların makineye girmesini
durdurmak için kurulum adımlarını asla atlamayın ve kurulum talimatlarını
okuyun. Her zaman Önerilen / Hızlı mod yerine Gelişmiş / Özel kurulum
modunu seçin ve sunulan tüm isteğe bağlı bileşenleri kaldırın.
Birçok kullanıcı, son zamanlarda yazılımın kırılmasından sonra
şifreleme ve fidye talebi ile ilgili fidye notunun belirdiğini bildirdi. Adobe
Photoshop, Illustrator veya NBA paketi, seri numaraları veya yasal
uygulamaların lisans anahtarları, güvenlik araçları gibi video oyunları gibi
güvenlik programları, kurulum kurulumunda çok daha fazlasını içerir.
Genel korsan içerik sayfaları yükleyici dosyası gibi fidye
yazılımı yükü sağlar ve yürütülebilir dosya makineye yüklendikten sonra kötü
amaçlı komut dosyası tetiklenir ve şifreleme başlar. Dosya kilitleme
işlemi birkaç dakika içinde gerçekleşir, bu yüzden bir şeylerin kapalı olduğunu
fark etseniz bile, bu konuda hiçbir şey yapamazsınız.
Djvus virüsünden kurtulmak için önerilen yazılımı kullanın
Djvu virüsünü kaldırmak için yalnızca saygın bilgisayar
yazılımları kullanın. Ayrıca, bilgisayar sistemini aşağıdaki araçlarla
tarayarak, kötü amaçlı yazılım yüklü tüm içeriği algılayabilirsiniz:
Bu tür yazılımlar, tüm kullanıcılar için kaldırma işlemini
uzatmak için oluşturulur. Tespit işlemi biraz zaman alsa da, lütfen daha
sonra inanılmaz derecede faydalı bulacağınız için sabırlı olun.
Djvu ransomware kaldırma gerçekleştirmek çok dikkat gerektirir. Otomatik
bilgisayar araçları için işlemden ayrılmanızın ana nedeni budur. Ayrıca,
elemeye devam ettikten sonra, bazı sistem yedeklemeleri gerçekleştirdiğinizden
emin olun. Bilgisayarın normal şekilde çalışması için fidye yazılımı ile
ilgili tüm bileşenlerin kalıcı olarak kaldırılması gerekir.
NOT! Virüsten koruma yazılımı indirmeye
çalışırken veya yasal bir güvenlik sitesini ziyaret ederken kendinizi
engellenmiş bulabilirsiniz. Bunun için bu konuma gidin ve “hosts”
dosyasını bulun: C: \ Windows \ System32 \ drivers \ etc. Yönetici
izinlerini kullanarak tamamen silin.