Retire .AMBA ransomware y restauración de archivos cifrados - Cómo, Foro de Tecnología y Seguridad PC | SensorsTechForum.com
eliminan la amenaza

Retire .AMBA ransomware y restauración de archivos cifrados

fijar-su-malware-problema-sensorstechforumEl virus AMBA, notorio por el hecho de que se cifra a las bases de datos de sitios web con la extensión de archivo .amba añadido a ellos ha aparecido en el radar. El cripto-virus ataca directamente el "índice de" pertenencia a sitios web cuyos servidores no se fijan correctamente. Su nota de rescate está escrito enteramente en idioma ruso, y sus variantes se ha informado de que existe desde el año 2013. Todos los editores de sitios web cuyos servidores se han visto afectadas por el Amba ransomware se recomienda encarecidamente a exportar los archivos y tratar de descifrarlos en lugar de pagar el dinero del rescate solicitado.

Resumen de amenazas

Nombre

AMBA

EscribeEl ransomware
Descripción breveCifra los archivos de sitios web en los servidores infectados y pide recompensa rescate por su descifrado.
Los síntomasEl usuario puede presenciar una nota de rescate como un documento de texto escrito en ruso, llamado “PROChTI_MENYa.txt”.
Método de distribuciónA través de un paquete de exploits, JavaScript o un troyano.
Herramienta de detección Ver si su sistema ha sido afectado por AMBA

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuarioÚnete a nuestro foro para Discutir Wildfire ransomware.
Herramienta de recuperación de datosVentanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.

Esquema de distribución de AMBA ransomware

Desde Amba ataques ransomware mayoría de servidores, se puede utilizar el enfoque diferente, en lugar de la campaña de spam masiva de convenciones. Por ejemplo, si el servidor está ubicado en una red con otros dispositivos, el virus puede utilizar un gusano para propagarse a través de la red a otros dispositivos. Además de esto, los creadores de Amba también pueden enviar URLs maliciosos directamente en el sitio web como spam en los comentarios. Tales enlaces web pueden redirigir a otra URL que pueden causar la infección a través de un drive-by-download. Otra posibilidad es un ataque dirigido con un Trojan.Downloader, que puede descargar archivos maliciosos de AMBA ransomware, directamente en el servidor.

AMBA ransomware vistos en Profundidad

Tan pronto como se ejecuta en una máquina determinada, AMBA comienza a cifrar los archivos que son servidor web relacionada, por ejemplo, pueden tener las siguientes extensiones:

→ .4UI .ADB .AFP .ANH .ANTMPL .AO .AP .ARTICLE .AVERY .BCF .BCP .BIZ .BLK .BOOK .BPF .BRO .BRO .BTW .CADOC .CAJ .CAL .CBF .CD2 .CDF .CDML .CDOC .CEDPRJ .CH3 .CL2ARC .CL2DOC .CL2LYT .CL2TPL .CLD .CLKB .CLKBD .CLKC .CLKD .CLT .CNDX .COMICDOC .COMICLIFE .COMPOSITIONTEMPLATE .COV .CPE .CPH .CPY .CRTR .CSD .CST .CVW .CW .CWT .DCX .DMTEMPLATE .DOT .DPD .DRMX .DRMZ .DTL .DTP .DTX .DWDOC .EDRWX .ENC .ENV .FADEIN .FAX .FCDT .FD2 .FDD .FDT .FLB .FM .FOLIO .FORM .FP3 .FR3 .FRDOC .FRF .FSD .FXM .GEM .HCR .HFD .HFT .HMK .HPD .HPT .ICAP .ICML .ICMT .IDAP .IDML .IDMS .IDPK .IFD .ILDOC .IMM .IMTX .IMX .INCD .INCT .INCX .IND .INDB .INDD .INDL .INDP .INDS .INDT .INFOPATHXML .INP .INX .ISALE .ISALETEMPLATE .ISALLIC .ISD .JTP .JTX .JTX .LAB .LBL .LBL .LLD .LMA .LPDF .LSC .LST .LTF .MAILSTATIONERY .MARS .MAX .MBBK .MCSP .MCSX .MDI .MFO .MFP .MFT .MGA .MIF

Después de cifrar las bases de datos de sitios web, el virus AMBA añade su propia "marca" - la extensión del archivo AMBA. Los archivos de sitios web encriptados por AMBA similar a la imagen siguiente, reportado por Amigo A – investigador de malware de id-ransomware.blogspot.bg:

Índice-AMBA

Después de la encriptación de los archivos en el sitio web del servidor, AMBA ransomware utiliza un archivo de texto para notificar a los usuarios que sus archivos han sido cifrados. El archivo se denomina ПРОЧТИ_МЕНЯ.txt y tiene el siguiente mensaje en ella:

"——————————————————————————–
Coloque para su anuncio
——————————————————————————–
Toda su información (documentos, base de datos, Las copias de seguridad)
este equipo se ha cifrado.
Para descifrar el contacto en los contactos abajo.PROChTI_MENYa.txt-rescate-nota-sensorstechforum
En ningún caso, no cambie los archivos!
Y no utilizar decodificadores de otras personas, Usted puede perder sus archivos para siempre.
cada decodificador – único, extranjero – simplemente echar a perder sus archivos.
Gracias a nosotros – usted puede mejorar su seguridad
y para evitar situaciones similares!
——————————————————————————–
correo electrónico: amba@riseup.net
———————————–
El código para desbloquear: {UNIQUE ID VÍCTIMA}
—————————————————————
precaución! En la primera carta no adjuntar archivos a descifrar.
Todas las instrucciones que recibirá una carta de respuesta ".

El mensaje de rescate se traduce en la siguiente:

Coloque para su anuncio.
Toda su información (documentos, los archivos de base de datos, Las copias de seguridad) se ha cifrado en este equipo. Para descifrarlo en contacto con los contactos belowmentioned. No trate de modificar los archivos en cualquier circunstancia! No utilice desencriptadores extranjeros, puede perder sus archivos para siempre. cada descifrador – único, extranjera se acaba de romper sus archivos. Gracias a nosotros, usted puede aumentar su seguridad y evitar este tipo de situaciones!
correo electrónico: amba@riseup.net
Su código de descifrado: {UNIQUE ID VÍCTIMA}
Atención! En la primera carta no coloque el código de descifrado. Su recibirán todas las instrucciones en la carta de respuesta”

Retire AMBA ransomware de su servidor

Para deshacerse de AMBA ransomware, se recomienda encarecidamente que usted pueda asegurarse de aislar la amenaza primera. Hemos preparado una eliminación de cómo llegar en modo seguro y es de esperar detener todos los procesos que pertenecen a AMBA ransomware. También es posible que desee restaurar los archivos, para los que no hay descifrador actual. Hemos preparado siguientes instrucciones que le ayudarán a eliminar ransomware AMBA eficacia de los servidores Windows y tratar de restaurar los archivos.

Si desea utilizar las instrucciones de eliminación manual, le recomendamos buscar en las carpetas de sistema de su servidor. En caso de no poder encontrarlos y encontrar las entradas del registro asociadas con AMBA, le recomendamos que siga las instrucciones de extracción automática que también son recomendados por los expertos. Se incluyen instrucciones sobre cómo probar métodos alternativos para obtener los archivos de nuevo.

avatar

Ventsislav Krastev

Ventsislav ha estado cubriendo los últimos malware, desarrollos de software y de la más alta tecnología en SensorsTechForum para 3 años. Comenzó como un administrador de red. Tener la comercialización graduado, así, Ventsislav también tiene pasión por el descubrimiento de nuevos cambios e innovaciones en seguridad cibernética que se convierten en cambiadores de juego. Después de estudiar Administración de la Cadena de Valor y luego de administración de redes, que encontró su pasión en cybersecrurity y es un firme creyente en la educación básica de todos los usuarios respecto a la seguridad en línea.

Más Mensajes - Sitio web

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...