Eh, tú,
Estar en el saber!

35,000 infecciones ransomware por mes y todavía se cree que están protegidos?

Regístrese para recibir:

  • alertas
  • Noticias
  • libre de la forma de quitar las guías

de las nuevas amenazas en línea - directamente a su bandeja de entrada:


Kirk ransomware - Eliminar y restaurar archivos .Kirked

Este artículo le ayudará a eliminar Kirk ransomware eficazmente. Siga las instrucciones de eliminación ransomware en la parte inferior del artículo.

Iglesia es ahora el nombre de un ransomware cryptovirus y no sólo el nombre del personaje emblemático de la franquicia de Star Trek. El virus está escrito en Python y es el primero que se exige el pago en el moneda criptomoneda. AES y RSA son los dos algoritmos de cifrado utilizados por el Iglesia ransomware para cifrar sus archivos. La nota de rescate tiene elementos ANSI y es muy detallado en sus instrucciones de pago. Sigue leyendo a continuación para ver cómo se puede tratar de restablecer potencialmente algunos de sus datos.

Resumen de amenazas

NombreIglesia
EscribeEl ransomware
Descripción breveEl ransomware cifra los archivos en su ordenador y exige el pago para el desbloqueo de ellas.
Los síntomasEl ransomware cifrará sus archivos mientras se coloca la extensión .kirked después de completarse el proceso de cifrado.
Método de distribuciónLos correos electrónicos de spam, Archivos adjuntos de correo electrónico
Herramienta de detección Saber si el sistema se ha visto afectada por Kirk

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuarioUnirse a nuestro foro para hablar sobre Kirk.
Herramienta de recuperación de datosVentanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.

Kirk ransomware - Infección

Iglesia ransomware podría propagar la infección a través de diferentes métodos. El archivo de carga útil que inicia el script malicioso para este ransomware, que a su vez infecta su máquina de la computadora, está dando vueltas por Internet y una muestra de malware ha sido encontrado por los investigadores de malware. Puedes ver el VirusTotal detecciones para diferentes programas de seguridad de esa muestra, marcando la siguiente captura de pantalla:

Iglesia ransomware también podría entregar su archivo de carga útil en sitios web de medios sociales y redes de intercambio de archivos. Freeware que se encuentra en la Web podría presentarse como útiles, pero al mismo tiempo podría ocultar el script malicioso para el cryptovirus. No abra los archivos de la misma manera que los ha descargado, especialmente si proceden de fuentes sospechosas, tales como enlaces o correos electrónicos. En lugar, usted debe escanearlos previamente con una herramienta de seguridad, al mismo tiempo que la comprobación del tamaño y las firmas de estos archivos para cualquier cosa que parece fuera de lo común. Debe leer la consejos para la prevención ransomware de la sección del foro.

Kirk ransomware - Detalles

Iglesia ransomware un cryptovirus que está escrito en el lenguaje de programación Python. El ransomware debe su nombre a uno de los personajes más emblemáticos de la franquicia de Star Trek – Capitán James T. Iglesia. Sus archivos se consiguen cifrada con una extensión a medida, es decir .kirked, preservando al mismo tiempo los nombres originales de los archivos.

Iglesia ransomware podría hacer entradas en el registro de Windows para lograr la persistencia, lanzar y reprimir los procesos en Windows. Algunas entradas están diseñados de tal manera que se iniciará el virus automáticamente con cada lanzamiento del sistema operativo Windows, como el ejemplo que se da aquí:

→"HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run"

La nota de rescate se mostrará en una ventana después de que el proceso de cifrado se ha completado. Esa nota es muy detallado y largo e incluso contiene algunas imágenes y el texto ANSI, extraído Star Trek. La nota está contenido dentro de un archivo llamado RANSOM_NOTE.txt. Se puede ver parte de la ventana del mensaje de la nota de rescate que se carga en una ventana después de cifrado de archivos completa aquí abajo:

Esa nota de rescate lee el siguiente:

Oh no! El ransomware Kirk ha cifrado sus archivos!
> ! IMPORTANTE ! LEA CUIDADOSAMENTE:

El ordenador ha sido víctima de malware Kirk y archivos importantes han sido encriptado – encerrado para que no trabajan. Esto puede haber roto algún tipo de software, incluyendo juegos, suites de oficina, etc.. Aquí está una lista de algunas de las extensiones de los archivos que fueron dirigidos: .3g2 … .pptm .mpk .re4

Hay un adicional 441 extensiones de archivo que están dirigidos. Son sobre todo que ver con juegos. Para obtener los archivos de nuevo, usted tiene que pagar. Ahora. Los pagos recibido más de 48 horas después del momento de la infección, se cargará doble. Otras penalizaciones de tiempo se enumeran a continuación. El momento de la infección se ha registrado. Cualquier archivos con las extensiones mencionadas anteriormente tendrán ahora la extensión extra ".kirked ', estos archivos son encriptados usando encriptación de grado militar. En el lugar de ejecutar este programa desde, usted debe encontrar una nota (llamado RANSOM_NOTE.txt) similar a éste. También encontrará un archivo llamado 'pwd’ – Este es el archivo de contraseña cifrada. A pesar de que se ha generado por el ordenador, que no hay manera de volver a descifrarlo. Esto se debe a la seguridad tanto de la forma en que se genera y la forma en que se ha cifrado. Sus archivos se cifran utilizando esta contraseña.

“Lógica, hijo de puta.” ~ Spock. Desencriptar los archivos es fácil. Tome una respiración profunda y siga los siguientes pasos.

1 ) Realizar el pago adecuado. Los pagos se realizan en moneda. Este es un cripto-moneda, como Bitcoin. Usted puede comprar moneda, y enviarlo, desde los mismos lugares que puedas cualquier otra cripto-moneda. Si todavía no está seguro, Google 'intercambio de bitcoin'. Inscribirse en uno de estos sitios de intercambio y enviar el pago a la siguiente dirección. Tome nota del pago / ID de transacción, o hacer uno si usted tiene la opción. Dirección de Pago (Monedero de divisas): 4AqSwfTexbNaHcn8giSJw3KPiWYHGBaCF9bdgPxvHbd5A8Q3Fc7n6FQCReEns8uEg8jUo4BeB79rwf4XSfQPVL1SKdVp2jz

Precios: Días : moneda : La oferta termina 0-2 : 50 : 03/18/17 15:32:14 3-7 : 100 : 03/23/17 15:32:14 8-14 : 200 : 03/30/17 15:32:14 15-30 : 500 : 04/15/17 15:32:14 Nota: En 31 días su clave de descifrado contraseña se elimina de forma permanente. A continuación, no hay manera de recuperar alguna vez sus archivos. Así que pagar ahora.

2 ) Envíanos un correo electrónico. Envíe su archivo pwd como un archivo adjunto de correo electrónico a una de las siguientes direcciones de correo electrónico. Incluir el ID de pago desde el paso 1. direcciones de correo electrónico activas: [email protected] [email protected]

3 ) Descifrar sus archivos. Recibirá su archivo de contraseñas de descifrado y un programa llamado 'Spock'. Descarga estos dos al mismo lugar y ejecutar Spock. Spock lee en el archivo de contraseña de descifrado y lo utiliza para descifrar todos los archivos afectados en su ordenador. > IMPORTANTE ! La contraseña es única para esta infección. El uso de una contraseña es antiguo o de otra máquina dará lugar a archivos dañados. Los archivos dañados no se pueden recuperar. No jodas.

4 ) Respirar.

Debajo de esta frase, verá una imagen con la parte que se introduce criptomoneda la moneda por primera vez como forma de pago, y la única forma de pago disponible en ese:

La nota de la Iglesia ransomware afirma que sus archivos están encriptados y para recuperarlos usted tiene que pagar en moneda. Debieras NO en cualquier circunstancia pagar estos cibercriminales. Sus archivos no pueden quedar restaurado, y nadie le podría dar una garantía para que. Además, dar dinero a estos criminales es probable que motive a crear más ransomware o hacer otras actividades delictivas.

Kirk ransomware - Cifrado Proceso

El proceso de cifrado todo comienza con la siguiente notificación emergente:

El texto de la notificación tiene el mismo título que la herramienta de la tensión de red "LOIC", que es:

Low Orbit Ion Cannon | cuando arpones, ataques aéreos y armas nucleares fallan | v1.0.1.0

Después de que el mensaje de su sistema informático será inspeccionado y todos los archivos con las extensiones que la Iglesia ransomware busca para cifrar será encriptado. Eso sucederá con la ayuda de la AES y RSA algoritmos de cifrado.

Los archivos que tienen extensiones de la siguiente lista (alrededor 625 diferentes extensiones) se bloqueará:

→.cfr, .el último año, .sngw, .TST, .skudef, .la, .Sims3pchk, .HBr, .HKX, .rgt, .ggpk, .ttarch2, .Hogg, .spv, .bm2, .tomar, .DFF, .salvar, .rgssad, .scm, .aud, .RxData, .mcmeta, .soy, .mpqe, .rez, .ariesflies, .abrazos, .bf, .IWD, .vpp_pc, .SCB, .naz, .m2, .XPK, .SABS, .nfs13save, .gro, .emi, .taco, .15, .VFS, .drs, .saber, .M4S, .jugador, .UMV, .SGM, .NTL, .esm, .QVM, .arch00, .disparo, .bk, .Sabl, .soy, .opk, .vfs0, .xp3, .TObj, .RCF, .sga, .esf, .RPC, .dayzprofil de, .QSV, .gam, .Lendl, .u2car, .psk, .trozo, .LRF, .lts, .IQM, .i3D, .ACS, .SC2Replay, .xfBr, .DB0, .fsh, .anuncios, .llorar, .OSR, .GCV, .BLK, .4, .LZC, .umod, .w3x, .MWM, .crf, .entonces, .PBN, .14, .PPE, .ydc, .FMF, .su, .nfs11save, .tgx, .TRF, .atlas, .20, .juego, .rw, .rvproj2, .sc1, .ed, .LSD, .pkz, .llanta, .BFF, .GCT, .9, .fpk, .PK3, .OSF, .BNS, .caso, .LFL, .rbz, .sexo, .MRM, .MCA, .HSV, .VPT, .¡uf, .i3chr, .tor, .01, .utx, .kf, .jeep, .fxcb, .modpak, .el agua, .FRD, .DMO, .VPP, .GCM, .frw, .BAF, .EDF, .W3G, .MTF, .TFC, .lpr, .PK2, .CS2, .fps, .columna, .LNC, .JPZ, .tinyid, .ebm, .i3exec, .son, .SV4, .CBF, .OPPC, .enc, .RMV, .MTA, .OTD, .pk7, .gm, .CDP, .CMG, .donde, .hpk, .PLR, .que, .ids, .replay_last_battle, .z2f, .mapa, .ut4mod, .dm_1, .p3d, .tres, .paquete, .streaming, .L2R, .XBF, .WEP, .EVD, .DXT, .BBA, .perfil, .etcétera, .FPR, .UCS, .laboratorio, .vaca, .FIB, .TEW, .Bix, .uhtm, .txd, .mermelada, .ugd, .13, .DC6, .vdk, .bar, .CVM, .OSM, .xxx, .derecho, .ANM, .6, .hormiga, .CTP, .SV5, .DNF, .he0, .mve, .emz, .e4mod, .GXT, .bolso, .suministro, .TBI, .etcétera, .I3animpchk, .VTF, .poder, .NCS, .dio, .CCW, .TSR, .banco, .lec, .PK4, .pSV, .los, .civ5save, .RLV, .Nueva Hampshire, .sco, .IMS, .EPC, .RGM, .res, .wld, .todos, .DB1, .dazip, .VCM, .RVM, .EUR, .me2headmorph, .PAS, .AGS, .12, .slh, .la, .wowsreplay, .dolor, .hay, .bnd, .acciones, .ddsx, .McMundo, .en, .vdf, .mtr, .addr, .BLP, .MLX, .T2i, .21, .cucharadita, .GM1, .2PK, .Kx, .lo, .rav, .tTG, .desovar, .osu, .OAC, .que, .dcz, .mgx, .wowpreplay, .fuk, .que, .FDA, .vob, .Tiempo atrás,, .RR, .Ala, .Mao, .UDK, .victoria, .25, .swar, .nav, .larva del moscardón, .JDF, .32, .me, .bs, .gax, .XMG, .udm, .ZDK, .DCC, .blb, .wxd, .es B, .pt2, .UTC, .tarjeta, .arrastrar, .JQ3SaveGame, .osk, .nuez, .unidad, .CME, .vida, .db7, .hlk, .DS1, .wx, .BSM, .W3Z, .itm, .clz, .ZFS, .3hacer, .pac, .DBI, .alo, .GLA, .YRM, .FOMOD, .delante de, .erp, .dl, .DMO, .pud, .iBT, .24, .WAI, .sww, .opq, .gtf, .BNT, .NGN, .teta, .WF, .BNK, .ttz, .nif, .GHB, .LA0, .bueno, .11, .icd, .z3, .djs, .mi, .2la, .imc, .SGH, .DB9, .42, .vis, .WhDer, .PCC, .43, .LDW, .age3yrec, .PCPACK, .ddt, .demasiado, .XCR, .bsp, .yaf, .SWD, .secuestro, .LSD, .Blorb, .unr, .multitud, .fos, .cem, .material, .de serie, .HMI, .md4, .perro, .256, .eje, .OOB, .CPX, .CDATA, .derecho, .PHZ, .stormreplay, .LRN, .spidersolitairesave-ms, .ANM, .a, .de, .Sims2pchk, .md2, .alpoys, .SNS, .palmadita, .TDF, .cm, .mía, .RBN, .uc, .ASG, .raf, .PAI, .mys, .Texas, .cpn, .flmod, .modelo, .sfar, .fbrb, .SAV2, .LMG, .pendiente de confirmación, .XPD, .bundledmesh, .BMG, .18, .GSC, .shader_bundle, .drl, .mundo, .RWD, .RWV, .RDA, .3g2, .3gp, .asf, .asx, .avi, .flv, .a, .m2ts, .mkv, .mov, .mp4, .mpg, .mpeg, .MPEG4, .rm, .swf, .vob, .wmv, .doc, .docx, .pdf, .rar, .jpg, .jpeg, .png, .pelea, .cremallera, .7desde, .dif.z, .exe, .tar.gz, .toma, .mp3, .sh, .c, .cpp, .h, .mov, .gif, .txt, .py, .PYC, .tarro, .csv, .psd, .wav, .ogg, .wma, .FIA, .mpa, .WPL, .Carga, .debutante, .pkg, .db, .dbf, .semana, .xml, .html, .AIML, .apk, .murciélago, .soy, .cgi, .pl, .con, .wsf, .bmp, .bmp, .gif, .tif, .pelea, .htm, .js, .jsp, .php, .XHTML, .pcm, .rss, .clave, .Responder, .pps, .ppt, .pptx, .clase, .CD, .Java, .rápido, .vb, .párrafo, .xlr, .xls, .xlsx, .punto, .docm, .DOTX, .dotm, .WPD, .wps, .rtf, .sdw, .sgl, .antes, .UOT, .uof, .JTD, .JTT, .pliegue, .602, .pdb, .PSW, .xlw, .XLT, .xlsm, .xltx, .XLTM, .xlsb, .wk1, .semanas, .123, .sdc, .ch, .pxl, .wb2, .maceta, .pptm, .Potx, .senderos, .SDA, .SDD, .Partido Socialdemócrata, .cgm, .wotreplay, .rofl, .entonces, .grande, .bik, .xtbl, .Unity3D, .capx, .ttarch, .gente, .rgss3a, .gblorb, .noticias, .J2E, .MPK, .xe, .Tigre, .lbf, .taxi, .rx3, .EPK, .vol, .baza, .forjar, .lng, .más, .litemod, .sitio web, .que, .papá, .psark, .YDK, .MPQ, .wtf, .bsa, .RE4, .dds, .ff, .YRP, .PCK, .t3, .LTX, .uasset, .Amougou, .parche, .ufc, .UAX, .mdl, .lvl, .QST, .IVA, .pta

fuente lista de extensiones: ordenador bleeping

Al observar que la lista se pone de manifiesto que muchas extensiones pertenecen a los archivos de los juegos de ordenador y sus "ahorra". Cada archivo encriptado que consigue recibirá la misma extensión anexa después de su extensión original. La segunda extensión después de la original será .kirked.

En la nota de rescate, hay una sección mencionar una Spock herramienta de descifrado, que usted tiene que pagar por si desea que sus archivos volvieron a la normalidad. Por el momento, no hay ninguna otra información sobre el descifrado aparte de investigadores de malware que dicen que no parece posible sin embargo,.

Sin embargo, si quieren tener alguna posibilidad de descifrado en el futuro, usted debe tener un archivo llamado pwd que se encuentra bajo el mismo directorio que el archivo loic_win32.exe, que es el archivo ejecutable ransomware.

El Iglesia cryptovirus no se excluye para eliminar el Instantáneas de volumen desde el sistema operativo de Windows, utilizando el siguiente comando:

→vssadmin.exe eliminar sombras / todas / Quiet

Aunque, que es muy poco probable, ya que su objetivo principal no es probablemente el sistema operativo de Windows, para empezar.

Sigue leyendo y echa un vistazo a través de qué tipo de maneras que usted puede tratar de restablecer potencialmente algunos de sus datos.

Retire Kirk ransomware y restauración de archivos .Kirked

Si el ordenador se infectó con el Iglesia virus de ransomware, usted debe tener un poco de experiencia en la eliminación de software malintencionado. Usted debe deshacerse de este ransomware lo más rápido posible antes de que pueda tener la oportunidad de propagarse e infectar más otros ordenadores. Debe eliminar el ransomware y seguir la guía de instrucciones paso a paso se proporciona a continuación.

eliminar manualmente Kirk desde el ordenador

Nota! Sustancial notificación acerca de la Iglesia amenaza: La extracción manual de Iglesia requiere la interferencia con los archivos del sistema y los registros. Por lo tanto, que puede causar daño a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no te preocupes. Usted puede hacer la eliminación ti mismo en 5 acta, usando un herramienta de eliminación de software malicioso.

1. Arrancar el PC en modo seguro para aislar y eliminar archivos y objetos Kirk
2. Encontrar archivos maliciosos creados por Kirk en su PC

eliminar automáticamente Kirk mediante la descarga de un programa anti-malware avanzado

1. Retire Kirk con la herramienta de SpyHunter Anti-Malware y realizar copias de seguridad de los datos
2. Restaurar archivos cifrados por Kirk
Opcional: Uso de las herramientas Alternativa Anti-Malware

Berta Bilbao

Berta es el Editor en Jefe de SensorsTechForum. Es investigadora de malware dedicado, soñando por un espacio cibernético más seguro.

Más Mensajes - Sitio web

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...
Por favor espera...

Suscríbete a nuestro boletín

¿Quieres recibir un aviso cuando se publique nuestro artículo? Introduzca su dirección de correo electrónico y nombre para ser el primero en saber.