.rumba filer Virus - Hvordan du fjerner det
TRUSSEL FJERNELSE

.rumba filer Virus - hvordan du fjerner det

1 Star2 Stars3 Stars4 Stars5 Stars (Ingen stemmer endnu)
Loading ...


Dette blogindlæg er blevet oprettet med det primære mål at forklare hvad er .rumba fil variant af STOP ransomware og vise dig måder, hvorigennem du kan prøve og fjerne den fra din computer.

En ny ransomware-virus går af .rumba filtypenavn er blevet opdaget af sikkerhedseksperter. Den virus har til formål at tilføje udvidelse af .rumba fil på de filer, der er krypteret af det. Den virus primære formål er at overbevise ofrene til at betale løsepenge for at hente deres filer. Hvis din computer er blevet inficeret af den .rumba ransomware variant af STOP, Vi vil foreslå, at du læser denne artikel.

Trussel Summary

Navn.rumba filer Virus
TypeRansomware, Cryptovirus
Kort beskrivelseVariant af
Opdatering August 2019! Remove and decrypt STOP DJVU. STOP ransomware encrypts your files and demands a ransom. Can you decrypt files encrypted by STOP virus?
STOP ransomware, del af DjVu ransomware stamme. Har til formål at encyrpt filer på kompromitteret computer og derefter bede ofrene til at betale løsepenge for at få dem tilbage.
SymptomerFiler krypteres med en tilføjet .rumba filtypenavn. Den virus falder derefter en løsesum note, indeholdende afpresning besked.
DistributionsmetodeSpam e-mails, Vedhæftede filer, eksekverbare filer
Værktøj Detection Se Hvis dit system er påvirket af .rumba Filer Virus

Hent

Værktøj til fjernelse af malware

BrugererfaringTilmeld dig vores forum at diskutere .rumba filer Virus.
Data Recovery ToolWindows Data Recovery af Stellar Phoenix Varsel! Dette produkt scanner dine drev sektorer til at gendanne mistede filer, og det kan ikke komme sig 100% af de krypterede filer, men kun få af dem, afhængigt af situationen og uanset om du har omformateret drevet.

.rumba filer Virus – Distributionsmetoder

De primære fremgangsmåder til fordeling, der anvendes af den .rumba ransomware menes at være via e-mail spam-kampagner, der er indstillet til at distribuere skadelige filer knyttet til dem, for eksempel:

De filer, der er knyttet til e-mails kan være af følgende filtyper:

  • .JS (JavaScript-filer).
  • .DOCX(Microsoft Word-dokument med ondsindede makroer).
  • .PDF(Adobe Reader filer).
  • .EXE(eksekverbare).
  • .VBS (Visual Basic Script filer).

De skadelige filer kan også uploades på mistænkelige websteder, hvor de kunne foregive at være forskellige typer af lovlige programmer, såsom:

  • Portable software.
  • revner.
  • Patches.
  • Licens aktivatorer.

Hidtil, den .rumba variant af STOP Ransomware blev rapporteret til at blive spredt over følgende lande:

  • Polen
  • Malaysia
  • Syd Korea
  • Thailand
  • Indonesien
  • Ukraine
  • Venezuela
  • Ecuador
  • Chile
  • Brasilien
  • Tyrkiet
  • Grækenland
  • Egypten
  • Andre

En anden måde for replikation, som for nylig blev rapporteret af malware forsker En venid-ransomware.blogspot.com er at udbrede via ondsindede Windows Update eller programmer, der allerede er tidligere kompromitteret:

.rumba filer Virus – Infektion Aktivitet og Analyse

Rumba ransomware er en del af STOP-ransomware virus familie af varianter, hvoraf de fleste er blevet opdaget at bruge følgende udvidelser:

Og dette er blot en del af de mange varianter af

Opdatering August 2019! Remove and decrypt STOP DJVU. STOP ransomware encrypts your files and demands a ransom. Can you decrypt files encrypted by STOP virus?
STOP Ransomware virus. Virussen er fra ransomware type, som betyder, at det har til formål at indkode dine filer og derefter kræve en stor sum, omkring $600 at betale i det tidsrum af 3 dage at få de cyber-kriminelle til at gendanne dine filer, og hvis der ikke opnås, den ransomware virus vil sandsynligvis øge løsesum betaling.

Det vigtigste infektion fil af .rumba virus er blevet rapporteret af forskere og uploades i VirusTotal med følgende oplysninger:

→ SHA-256:48586462fb24005bcf8139ac2a8af0873b9bb99cb544fccaa24ac124c099beb9
Filnavn:dump-2228224.mem
Filstørrelse:347.5 KB

Den virus fil blev rapporteret til at udføre HTTP-anmodninger til domæner, der var relateret til rosalus.ug. Anmodningerne er som følger:

→ FÅ Anmodning fra hxxp://rosalos.ug/get_v2.php?pid = C28944D8AF49B3B7F79ED7D4845CB9B3
FÅ Anmodning fra hxxp://rosalos.ug/xxx/updatewin1.exe

Ud over dette, virus kan bruge følgende IP-adresser til at kommunikere:

  • 77.123.139.189:443
  • 185.120.56.96:80

efter infektion, den .rumba variant af STOP-ransomware kan åbne follwing filer på den inficerede computer:

→ \\.\PIPE ROUTER
\\.\PIPE lsarpc
c:\autoexec.bat
C:\48586462fb24005bcf8139ac2a8af0873b9bb99cb544fccaa24ac124c099beb9
C:\WINDOWS Registrering R000000000007.clb
C:\WINDOWS system32 rsaenh.dll

Endvidere, virus kan læse og udtrække oplysninger fra følgende filer:

→ c:\autoexec.bat
C:\48586462fb24005bcf8139ac2a8af0873b9bb99cb544fccaa24ac124c099beb9
C:\WINDOWS Registrering R000000000007.clb
C:\WINDOWS system32 rsaenh.dll

Kort efter dette, .rumba STOP ransomware kan kopiere følgende objekt i% AppData% mappe af Windows:

→C:\Dokumenter og indstillinger\Lokale indstillinger Application Data 595e5c57-6a16-4ce3-b5da-63e1ccaec198 48586462fb24005bcf8139ac2a8af0873b9bb99cb544fccaa24ac124c099beb9

Af en eller anden grund, den samme fil, der blev kopieret er senere slettet fra den samme mappe.

Den .rumba fil ransomware kan også skabe følgende proces med benægte parametre:

→icacls C:\Dokumenter og indstillinger\Lokale indstillinger Application Data 595e5c57-6a16-4ce3-b5da-63e1ccaec198″ /benægte * S-1-1-0:(HI)(CI)(AF

Hvis du vil synkronisere, .rumba fil ransomware kan også oprette og åbne mutex RasPbFile.

efter infektion, STOP .rumba ransomware kan oprette følgende systemfiler i Windows:

→secur32.dll
Shell32.dll
wsock32
ws2_32
comctl32.dll
rasapi32.dll
rtutils.dll
Rpcrt4.dll
Rasman.dll
c:\windows system32 msv1_0.dll
sensapi.dll
Ntdll.dll
userenv.dll
netapi32.dll
version.dll
wintrust.dll
SChannel
urlmon.dll
Wininet.dll
c:\windows system32 mswsock.dll
dnsapi.dll
rasadhlp.dll
hnetcfg.dll
c:\windows system32 wshtcpip.dll
c:\windows system32 Schannel.dll
clbcatq.dll
kernel32.dll
PSAPI.DLL
rsaenh.dll

Derefter, de ransomware provenuet til det er ondsindet aktivitet på opnåelse af rettighederne som administrator, og derefter bruge disse privilegier til at droppe det nyttelast, slette øjebliksbilleder, kopiere oplysninger og ændre Windows Registreringseditor.

Når smittet din computer, den .rumba filer virus kan falde Det er payload-filer i følgende Windows mapper;

  • %Windows%
  • %AppData%
  • %Lokal%
  • %LocalLow%
  • %Roaming%
  • %Temp%

Når man først har gjort det, den .rumba ransomware ma også falde, det er ransomware seddel fil, som menes at ligne det følgende:

---------------- Alle dine filer krypteres ----------------

Må ikke bekymre dig, du kan returnere alle dine filer!
Alle dine filer dokumenter, billeder, databaser og andre vigtige er krypteret med stærkeste kryptering og unik nøgle.
Den eneste metode til at inddrive filer er at købe dekryptere værktøj og unik nøgle for dig.
Denne software vil dekryptere alle dine krypterede filer.
Hvilke garantier gør vi giver til dig?
Du kan sende en af ​​dine krypterede fil fra din pc, og vi dekryptere det gratis.
Men vi kan kun dekryptere 1 fil til fri. Fil må ikke indeholde værdifulde oplysninger
Forsøg ikke at bruge tredjeparts dekryptere værktøjer, fordi det vil ødelægge dine filer.
Rabat 50% tilgængelig, hvis du kontakter os først 72 timer.

-----------------------------------------

For at få denne software, du har brug for at skrive på vores e-mail:

Reserve e-mail-adresse til at kontakte os:

Din personlige ID:
[redacted 43 alfanumeriske tegn]

Ud over at gøre disse aktiviteter, den .rumba filer virus kan også ændre Run og RunOnce Windows sub-taster på computere af ofre:

→ HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

Endvidere, den .rumba filer virus kan også slette øjebliksbilleder på computeren offer ved at køre følgende kommandoer som administrator:

→ sc stop VVS
sc-stop wscsvc
sc-stop WinDefend
sc-stop wuauserv
sc stoppe BITS
sc stoppe ERSvc
sc stoppe WerSvc
cmd.exe / C bcdedit / sæt {misligholdelse} recoveryenabled Nej
cmd.exe / C bcdedit / sæt {misligholdelse} bootstatuspolicy ignoreallfailures
C:\Windows System32 cmd.exe "/ C vssadmin.exe Slet Shadows / Alle / Stille

.rumba Ransomware – Kryptering Process

For .rumba filer virus til at kryptere filerne på kompromitteret computer, den ransomware virus kan først gøre et system scanning af selve filerne. Denne scanning vil gøre det muligt for virussen at opdage kun de filer, den er sat til at kryptere og disse filer normalt vise sig at være:

  • lydfiler.
  • billedfiler.
  • Dokument filtyper.
  • videofiler.
  • Arkiv.
  • Virutal drev.

Den .rumba filer virus kan begynde at kryptere filerne, ved at overskrive datablokke fra deres oprindelige struktur. Dette gør filerne ude af stand til at blive åbnet og begynder at fremstå som billedet nedenfor viser:

Fjern .rumba filer Virus og Prøv at dekryptere dine filer

Hvis du ønsker at fjerne .rumba filer virus, Vi foreslår, at du bruger fjernelse instruktioner under denne artikel. De er blevet skabt for at yde bistand til dig i manuelt at finde ud af og fjerne de skadelige filer i .rumba ransowmare. Men hvis manuel fjernelse ikke synes at hjælpe, for maximume effectivness, Vi vil foreslå, at du fjerner denne virus ved hjælp af en anti-malware-software, ligesom de fleste cyber-sikkerhed eksperter ville gøre. Sådan software har til formål at identificere og slette alle de skadelige objekter, relateret til .rumba fil ransomware fra din computer og sørg for at beskytte din computer i realtid samt.

Heldigvis, der er en dekryptering tilgængelig for alle filer, krypteret af de fleste af STOP ransomware varianter og hvis .rumba varianten er en del af STOP-ransomware, Vi vil kraftigt anbefale, at du ser dekryptering værktøj til STOP ransomware, hvis du ønsker at gendanne dine filer. Den er tilgængelig på følgende dekryptering værktøj link. Husk, at for dekryptering, du i sidste ende vil være nødvendigt at have en original fil, og det er krypteret analog fil, så du kan dekryptere alle dine filer på denne måde.

Avatar

Ventsislav Krastev

Ventsislav har dækket de nyeste malware, software og nyeste tech udviklinger på SensorsTechForum for 3 år nu. Han startede som en netværksadministrator. Have uddannet Marketing samt, Ventsislav har også passion for opdagelsen af ​​nye skift og innovationer i cybersikkerhed, der bliver spillet skiftere. Efter at have studeret Value Chain Management og derefter Network Administration, han fandt sin passion inden cybersecrurity og er en stærk tilhænger af grunduddannelse for alle brugere mod online sikkerhed.

Flere indlæg - Websted

1 Kommentar

  1. AvatarMarcio Cassiano

    Kære,
    I would like to know if already decrypted file contaminated by RUMBA, for ID: ILVB810gCvHGkaDADuTbmq3dQsdSXyZT2bsuUicnV.

    Svar

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...