Retire PSCrypt ransomware - Restaurar archivos .PSCrypt
eliminan la amenaza

Retire PSCrypt ransomware - Restaurar archivos .PSCrypt

Este artículo le ayudará a eliminar la PSCrypt ransomware eficazmente. Siga las instrucciones de eliminación ransomware que se encuentran al final del artículo.

PSCrypt ransomware es el nombre de un cryptovirus, que se informa principalmente para cifrar los sistemas informáticos en Ucrania. El virus es una variante Globe Imposter. La extensión se coloca a todos los archivos después del cifrado es .pscrypt. Después de cifrado, una ventana de la nota de rescate se mostrará con instrucciones sobre cómo pagar el rescate exigido. Leer a través de y averiguar qué manera se podría tratar de recuperar potencialmente algunos de sus archivos.

Resumen de amenazas

NombrePSCrypt
EscribeEl ransomware
Descripción breveEl ransomware cifra los archivos en su sistema informático y se nota una nota de rescate después.
Los síntomasEste virus ransomware cifrará sus archivos y colocar el .pscrypt la extensión de cada una de ellas.
Método de distribuciónLos correos electrónicos de spam, Archivos adjuntos de correo electrónico
Herramienta de detección Ver si su sistema ha sido afectado por PSCrypt

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuarioUnirse a nuestro foro para discutir PSCrypt.
Herramienta de recuperación de datosVentanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.

PSCrypt ransomware - Entrega

PSCrypt ransomware podría ser entregado en más de una forma. Sin embargo, la forma en que es el más extendido es a través de un archivo de carga útil gotero que inicia el script malicioso para el ransomware. Las muestras han sido vistos por los investigadores de malware y se puede obtener una vista previa uno de ellos enviado para su análisis en el VirusTotal servicio aquí:

El PSCrypt ransomware podría estar utilizando otras maneras de entregar el archivo de carga útil, tales como las redes sociales y sitios para compartir archivos. aplicaciones freeware que se encuentran en Internet podrían ser promovidos como útiles, pero también podría ocultar el script malicioso para este virus. Antes de abrir los archivos después de haberlos descargado, en su lugar debe escanear con un programa de seguridad. Sobre todo si proceden de lugares sospechosos, tales como correos electrónicos o enlaces. También, no se olvide de comprobar el tamaño y las firmas de dichos archivos para cualquier cosa que parece fuera de lugar. Debe leer la consejos para la prevención ransomware dado en la sección del foro.

PSCrypt ransomware - En Profundidad

El PSCrypt ransomware es un cryptovirus, que ha sido principalmente sido golpear a los sistemas informáticos en Ucrania. investigadores de malware dicen que es una variante GlobeImposter – en otras palabras, que pretende ser el virus ransomware Globo. Cuando el PSCrypt ransomware cifra sus archivos, se pondrá el .pscrypt extensión a cada archivo y colocar un archivo que sirve como una nota de rescate con las instrucciones.

En el futuro, la PSCrypt ransomware se podría establecer para hacer nuevas entradas de registro en el registro de Windows para lograr un mayor nivel de persistencia. Esas entradas se diseñan generalmente de tal manera que se iniciará el virus automáticamente con cada lanzamiento del sistema operativo Windows, como en el ejemplo dado a continuación:

→"HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run"

La nota de rescate está en un archivo llamado “Paxynok.html”. Es una palabra en ucraniano que se podría traducir como algo así como “Bill”. Que .html archivo muestra la siguiente nota de rescate:

El siguiente mensaje sobre el pago de un rescate es en esa ventana:

Su identificación personal
13 69 9B 5F 1E ***
Sus archivos están disponibles temporalmente.
TODAS SUS Los datos fueron ZASHIVROVANNY!
La recuperación de datos es necesaria decodificador.
para decodificador, tienes:
decodificación de pago:
El pago es por dinero en efectivo bitkoyn (BTC):
El costo de los servicios es 2500 UAH
El pago puede hacerse en la terminal IBox.
Las instrucciones para el pago:
1. Encuentra el terminal más cercano Ayboks Ayboks
utilizando la barra de búsqueda para encontrar el servicio «Btcu.biz».
2. Introduzca su número de teléfono.
3. presentar cantidad 2500 UAH
4. Imprimir y guardar el cheque.
5. Ir a la página web btcu.biz.
6. En "Comprar" => "Para terminal de dinero en efectivo" para introducir un código en el cheque (subrayada en rojo), introducir el código de imagen, leer y aceptar los términos y condiciones y haga clic en "Pagar".
límite
cerciorarse, el código ha sido aprobado y la cantidad modificada coincida con el terminal.
7. desde, el código se adoptó el sistema correctamente, Haga clic en "Siguiente" para seleccionar el método de obtención de fondos.
sitio web
8. Seleccione la sección "Añadir dirección PTS", entrar – 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY y código de imagen, Haga clic en "Enviar".
Sayt2
9. después del pago:
Enviar el pago a systems64x@tutanota.com pantalla
En una carta que introduzca su identificación personal (ir al inicio de este documento).
10. Después de recibir instrucciones y decodificador, el trabajo puede entonces proceder.
información adicional:
Deshifruvati programa Odin archivamos prueba fuerte Togo, que tiene un decodificador. Debe enviar el archivo cifrado para enviar por correo: systems64x@tutanota.com
precaución!
Sin pago = No decodificación
Lo que realmente conseguir después de pagar decodificador
No intente quitar el programa o ejecutar herramientas anti-virus
Intentos samodeshifrovaniya archivos dará lugar a la pérdida de sus datos
Decodificadores otros no compatibles con sus datos, como una clave de cifrado única para cada usuario.
saludos.

La siguiente es una traducción aproximada en Inglés de la nota de rescate:

De identificador personal
13 69 9B 5F 1E ***
Sus archivos están disponibles en estos momentos.
Todos los datos hayan sido cifrados!
Para recuperar los datos que necesita descifrador.
Para obtener el descifrador del que debiera:
pagar por descifrar:
Bitcoin sitio para comprar:
https://localbitcoins.com
https://www.coinbase.com
https://xchange.cc
dirección bitcoin de pago:
1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY
Póngase en contacto con nosotros por correo electrónico : systems64x@tutanota.com. En la carta incluir su identificación personal (mirar en el comienzo de este documento)
Después de responder a su pregunta, nuestro operador le dará más instrucciones, el cual será mostrado qué hacer a continuación (la respuesta que se obtiene tan pronto como sea posible)
En la carta incluir su identificación personal (mirar en el comienzo de este documento).
Después recibirá un descifrador e instrucciones
Podemos descifrar un archivo en la calidad de la evidencia que tenemos el decodificador.
Atención!
No Pago = n descifrado
Lo que realmente conseguir el descifrador después del pago
No intente quitar el programa o ejecutar las herramientas anti-virus
Los intentos de archivos libre descifrar dará lugar a la pérdida de sus datos
Decodificadores otros usuarios no son compatibles con sus datos, porque la clave de cifrado única de cada usuario.

Al final de la nota hay ejemplos dados por pagar con bitcoins. Se puede ver los ejemplos de las capturas de pantalla aquí abajo:

PSCrypt suma del rescate que se exige como pago por presuntamente restaurar sus archivos es actualmente 2500 grivnas ucranianas. Esa cantidad equivale a casi 100 dólares estadounidenses. No importa qué cantidad de dinero se le pide de usted, usted no debe, en todo caso considerar el pago de los cibercriminales. El abono de esos ladrones puede motivarlos a disfrutar de los actos delictivos similares en el futuro.

PSCrypt ransomware - Cifrado

No existe una lista oficial, con extensiones de archivo que el PSCrypt ransomware busca para cifrar. Este artículo será debidamente informado si dicha lista se encuentra. Sin embargo, todos los archivos cifrados que consiguen recibirán el .pscrypt extensión anexa a ellos como una extensión secundaria después de la original. Algunas de las extensiones de archivo que se codifica el ransomware para buscar y cifrar los archivos que les tienen son los siguientes:

→.jpg, .doc, .docx, .pdf, .xls, .xlsx

PSCrypt es más que probable para borrar la Instantáneas de volumen desde el sistema operativo Windows ejecutando el siguiente comando:

→vssadmin.exe eliminar sombras / todas / Quiet

Si el comando arriba indicada se introduce en la línea de comandos del sistema operativo Windows, que hará que el proceso de cifrado más eficaz, como uno de los principales medios para la recuperación de archivos se habrá ido. Sigue leyendo para averiguar qué métodos se puede probar que potencialmente restaurar algunos de sus archivos.

Retire PSCrypt ransomware y restauración de archivos .pscrypt

Si el ordenador se infectó con el PSCrypt virus de ransomware, usted debe tener un poco de experiencia en la eliminación de software malintencionado. Usted debe deshacerse de este ransomware lo más rápido posible antes de que pueda tener la oportunidad de propagarse e infectar más otros ordenadores. Debe eliminar el ransomware y seguir la guía de instrucciones paso a paso se proporciona a continuación.

avatar

Berta Bilbao

Berta es un investigador de malware dedicado, soñando por un espacio cibernético más seguro. Su fascinación con la seguridad que comenzó hace unos años, cuando un malware ella bloqueada fuera de su propio ordenador.

Más Mensajes

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...