Ei, tu,
Essere a conoscenza!

35,000 infezioni ransomware al mese e ancora crede che si sono protetti?

Iscriviti per ricevere:

  • avvisi
  • notizia
  • libera come da rimuovere guide

delle più recenti minacce online - direttamente alla tua casella di posta:


Decifrare i file cifrati da Mordor ransomware

Articolo creata per aiutare a rimuovere Mordor virus ransomware e ripristinare i file crittografati da questa infezione sul vostro computer.

Un virus ransomware derivante dal malware ransomware-as-a-service, Conosciuto come Karmen famiglia ransomware è stato segnalato per causare infezioni in natura. Il virus si propone di crittografare i file sul computer infetto utilizzando un bit di crittografia crittografia AES-256 e non cambia le estensioni dei file. E 'quindi visualizza una carta da parati con l'occhio di Sauron che ha lo scopo di informare la vittima che un riscatto payoff pesante deve essere pagato per ripristinare i file crittografati. Nel caso in cui siete stati infettati da Mordor ransomware, raccomandazioni sono per continuare a leggere completamente questo articolo.

Sommario minaccia

Nome

Mordor

Tipo Ransomware
breve descrizione Cripta i file sui computer infettati da essa dopo che chiede una tassa da pagare per farli tornare.
Sintomi Una richiesta di riscatto è visto con l'occhio di Sauron da LOTR. Richieste sono fatti per pagare un riscatto.
Metodo di distribuzione Tramite un kit di exploit, attacco di file Dll, dannoso JavaScript o un drive-by download del malware stesso in modo offuscato.
Detection Tool Vedere se il vostro sistema è stata colpita da Mordor

Scarica

Strumento di rimozione malware

Esperienza utente Iscriviti alla nostra forum per discutere Mordor.
Strumento di recupero dati Data Recovery Pro da ParetoLogic Avviso! Questo prodotto esegue la scansione settori di unità per recuperare i file persi e non può recuperare 100% dei file crittografati, ma solo pochi di essi, a seconda della situazione e se non è stato riformattato l'unità.

Mordor ransomware - Come funziona è diffuso

Il processo di infezione di Mordor ransomware può essere condotto in diversi modi, il principale dei quali può essere tramite messaggi di posta elettronica di spam. Tali messaggi di posta elettronica possono contenere allegati dannosi in un archivio o collegamenti Web dannosi. Sono inoltre accompagnati da dichiarazioni ingannevoli, come un acquisto la vittima non ha fatto o un premio vinta, per esempio:

Oltre a questo metodo di vittime che infettano, ci sono anche altri metodi con cui i truffatori possono raggiungere gli utenti. Uno di essi include il caricamento del file infezione sui siti torrent in modo che assomiglia vari aggiornamenti software diversi, patch di gioco falsi, attivatori di licenza per programmi o generatori di chiavi.

Qualunque sia lo scenario infezione è, una volta che l'infezione è accaduto, il Mordor il virus può cadere 3 diversi file .exe con nomi diversi nelle seguenti cartelle di Windows:

Mordor Virus - Infezione Activity

Una volta che questa infezione multi-threaded attacca la vittima, si può cominciare a ricercare e rilevare il seguente software installato sul computer della vittima:

  • Anti-debugger.
  • analizzatori.
  • macchine virtuali.
  • software sandboxing.

Se il file è dannoso riceve una di queste, si può chiudere e automaticamente eliminarlo del caricatore (file di infezione) ei file dannosi. In aggiunta a questo, se il suddetto vengono rilevati, il ransomware elimina anche è decrypter.

Un'altra attività Mordor ransomware svolge sul computer infetto è di connettersi ad esso del server di comando e controllo che ha un pannello di controllo che riceve le informazioni sulla macchina infetta. Questo pannello di controllo è in diverse lingue e dispone di un portafoglio BitCoin separato che viene creato per ogni infezione.

Altra attività del virus include la possibilità di utilizzare .NET 4.0 così come PHP 5.6, MySQL e può anche essere aggiornato automaticamente in movimento.

Il prezzo per il ransomware Karmen come un servizio da cui deriva è Mordor ransomware 175$ e offre molte caratteristiche diverse per i cyber-criminali che lo utilizzano:

  • Utilizza una sofisticata crittografia AES.
  • Può cifrare le unità rimovibili.
  • Self-cancella dopo il riscatto è pagato e cancella il caricatore dopo la crittografia ha completato.
  • un collegamento minimo con esso ha del server C2.
  • Ha offuscamento che evita il software antivirus..
  • Non cambia le estensioni dei file.

Oltre a queste attività, Mordor ransomware può modificare i seguenti sotto-chiavi di registro di Windows in modo che il virus viene eseguito sul sistema di start-up:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

Mordor ransomware - Processo di crittografia

Essendo una variante ransomware lacrima nascosta su cui si basa la famiglia di virus Karmen, il ransomware Mordor utilizza AES-256 bit algoritmo di crittografia. Questa cifra può essere aggiunto sui tipi diffusi di file sul computer della vittima, per esempio:

→ "PNG .PSD .PspImage .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF xlr .XLS .XLSX .accdb .DB DBF MDB PDB .SQL .apk .APP bat .cgi .COM .EXE .gadget .JAR PIF wsf .DEM .gam .NES .ROM .SAV CAD .dwg .DXF GIS file .GPX .KML .KMZ .ASP ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .jsp .PHP .rss .xhtml. DOC DOCX .LOG .MSG .ODT .pagine .RTF .tex .TXT .WPD .WPS .CSV DAT .GED .KEY .keychain .PPS .PPT .PPTX ..INI .PRF file codificati .HQX .mim .uue .7z .cbr .deb .GZ .PKG .RAR .rpm .sitx .TAR.GZ .ZIP .ZIPX BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio I file .AIF .IFF .M3U .M4A .MID .MP3 mpa WAV WMA file video .3g2 .3GP ASF AVI FLV .m4v .MOV .MP4 .MPG .RM .SRT .SWF VOB WMV 3D .3DM .3DS .MAX obj R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF CAB .CPL .CUR .DESKTHEMEPACK DLL .DMP .DRV ICNS ICO .LNK .SYS .CFG "Source:fileinfo.com

Dopo il processo di crittografia è stato completato, gli utenti potrebbero non essere più in grado di accedere ai propri file, anche se non le estensioni dei file vengono aggiunti a loro.

Fortunatamente essendo una variante HiddenTear, i virus dal Mordor famiglia ransomware può essere decifrabile. Per cercare di decifrare i file crittografati da questo virus, seguire le istruzioni riportate di seguito.

Mordor ransomware Variante - Istruzioni decodifica

Il processo di file-decrittografia dei HiddenTear ransomware non è così difficile, ma è necessario essere preparati e farlo da un computer sicuro che è potente. Cominciamo!

Passo 1: Scarica il HiddenTear Bruteforcer cliccando sul bottone qui sotto e aprire l'archivio:

Scarica

HiddenTear Bruteforcer


1-nascosto-tear-Bruteforcer-download-sensorstechforum

Passo 2: Estrarre il programma sul desktop o dovunque ti trovi bene di accedere facilmente e aprirlo come amministratore:

2-nascosto-tear-Bruteforcer-estratti-sensorstechforum

Passo 3: Dopo l'apertura, si dovrebbe vedere l'interfaccia principale della forza bruta. Da lì, scegliere "Sample Browser" per selezionare un file crittografato campione del tipo di ransomware si sta tentando di decifrare:

3-Hiddentear-sensorstechforum-Bruteforcer-main-panel

Passo 4: Dopo questo selezionare il tipo di ransomware dal menu espansione basso-sinistra:

4-nascosto-tear-scegliere-ransowmare-variante-sensorstechforum

Passo 5: Clicca sul Inizio Bruteforce pulsante. Questo potrebbe richiedere del tempo. Dopo la bruta forzatura è finito e la chiave si trova, copiarlo e salvarlo da qualche parte sul tuo PC in un .txt file, è necessario in un secondo momento.

Passo 6: Scarica il HiddenTear Decryptor dal pulsante download:

Scarica

HiddenTear Decrypter

Passo 7: Estrarlo e aprirlo, allo stesso modo con HiddenTear Bruteforcer. Dalla sua interfaccia primaria, incollare la chiave copiato dal Bruteforcer, scrivere il tipo di estensione utilizzata dal ransomware e cliccare sul decrypt Pulsante come illustrato di seguito:

5-hiddentear-decrypter-password decrypt-sensorstechforum

Dopo aver completato questi passaggi, È necessario copiare immediatamente i file su un dispositivo esterno in modo che siano sicuri. Dopo questo è stato fatto, si consiglia vivamente di pulire completamente le unità e reinstallare Windows sulla macchina colpita.

Mordor decrittografia – Conclusione

I virus, come la variante di ransomware Mordor stanno diventando sempre più comuni. Dal momento che il virus è stato rilevato su più diversi forum underground che vengono venduti come Karmen ransomware. Ciò significa che più varianti di questa infezione ransomware possono apparire presto. Questo è il motivo per cui vi consigliamo di aumentare la protezione globale da virus ransomware seguendo questi passaggi:

Consigli 1: Assicurarsi di leggere la nostra punte di protezione generale e cercare di rendere loro la vostra abitudine e istruito gli altri a fare altrettanto.
Consigli 2: Installare un avanzato programma anti-malware che ha un spesso aggiornato le definizioni scudo in tempo reale e protezione ransomware.

Scarica

Strumento di rimozione malware


Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter

Consigli 3: Cercare e scaricare specifica software anti-ransomware che è affidabile.

Consigli 4: Eseguire il backup dei file utilizzando uno dei metodi in questo articolo.

Consigli 5: : Assicurarsi di utilizzare un browser web sicuro durante la navigazione sul world wide web.

Vencislav Krustev

Un amministratore di rete e ricercatore di malware presso SensorsTechForum con passione per la scoperta di nuovi cambiamenti e le innovazioni in materia di sicurezza informatica. Forte credente nella formazione di base di ogni utente verso la sicurezza on-line.

Altri messaggi - Sito web

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...
Please wait...

Iscriviti alla nostra Newsletter

Vuoi essere avvisato quando il nostro articolo è pubblicato? Inserisci il tuo indirizzo e-mail e il nome sottostante per essere il primo a sapere.