.VENGANZA Virus de archivos Eliminar y restaurar archivos - Cómo, Foro de Tecnología y Seguridad PC | SensorsTechForum.com

.VENGANZA Virus de archivos Eliminar y restaurar archivos

Artículo creado para ayudar a quitar la ransomware venganza virus y restaurar archivos cifrados con la .venganza extensión de archivo.

Una infección ransomware así codificado, es decir el uso de la AES y RSA algoritmos de cifrado se ha reportado para infectar a los usuarios desde marzo 2017. El virus ransomware es apodado ransomware venganza y su objetivo es cifrar los archivos de los ordenadores infectados por ella. Después de la encriptación, ransomware venganza deja caer una # !!!HELP_FILE!!! #.TXT nota en la que exige un pago para devolver todos los archivos. Los creadores de virus se comunican a través del correo electrónico. En caso de que haya sido víctima de esta infección ransomware, recomendaciones son para leer este artículo completo.

Resumen de amenazas

Nombre

Venganza

EscribeEl ransomware
Descripción breveEl software malicioso cifra los archivos de los usuarios que utilizan un algoritmo de cifrado fuerte, haciendo descifrado directa posible sólo a través de una clave de descifrado única disponible para los delincuentes cibernéticos.
Los síntomasEl usuario puede presenciar y notas de rescate “instrucciones” vincular a una página web y un descifrador. Cambió los nombres de archivo y la .REVENGE-extensión de archivo se ha utilizado.
Método de distribuciónA través de un paquete de exploits, ataque al archivo DLL, JavaScript malicioso o una descarga dirigida del propio programa malicioso de manera ofuscado.
Herramienta de detección Ver si su sistema ha sido afectado por venganza

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuarioÚnete a nuestro foro para discutir venganza.
Herramienta de recuperación de datosVentanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.

La venganza ransomware - ¿Cómo Infect

Por este virus se vuelva activa e infectar a un número cada vez mayor de múltiples técnicas de los usuarios de Windows se usan según los informes. Uno de ellos es utilizar archivos maliciosos que contienen ya sea el Rig Exploit Kit o kit EiTest, web-inyectores y actualizaciones falsas para la infección. Tal puede propagarse al que se añade como enlaces web o archivos adjuntos de correo electrónico maliciosos en archivos. Los correos electrónicos que acompañan a esos archivos adjuntos pueden contener mensajes engañosos que pretenden engañar al usuario para abrirlos, por ejemplo:

Después de que el usuario abre el archivo adjunto de correo electrónico malintencionado, ransomware venganza se activa y varios archivos maliciosos se descargan en el ordenador del usuario:

  • Rig-Akkswf
  • svchost.exe
  • {archivo llamado al azar}.exe
  • {archivo llamado al azar(2)}.exe
  • {archivo llamado al azar(3)}.exe
  • {archivo llamado al azar}.bin.exe
  • # !!!HELP_FILE!!! #.TXT

La mayoría de los archivos se encuentran en el %AppData% dorectory. Pero también existe la presencia de archivos maliciosos que se encuentran en el %Windows NT% directorio.

La venganza ransomware - Análisis de la infección

Después de que se ha iniciado la infección por ransomware venganza, el virus comienza a realizar múltiples tipos diferentes de modificaciones a la computadora, a partir de la ejecución de comandos de Windows administrativa en el símbolo del sistema sin que el usuario lo note. Los comandos son reportados por los investigadores para ser el siguiente:

→ /C vssadmin.exe Eliminar Sombras / Todo / Quiet
/C bcdedit / set {defecto} recoveryenabled No
/C bcdedit / set {defecto} ignoreallfailures bootstatuspolicy
/C vers net stop
/C vssadmin.exe Eliminar Sombras / Todo / Quiet
/C vers net stop

Estos comandos se ejecutan con el único propósito de detener el servicio de instantáneas de volumen y eliminar las instantáneas de volumen (los archivos copiados) en un modo silencioso, sin que el usuario viéndolo.

Mientras tanto, ransomware venganza también establece la conexión con los siguientes hosts:

  • dfg.stickneylodge.com (217.107.34.86)
  • 109.236.87.201
  • www.everythingcebu.com

El virus también realiza múltiples otras modificaciones, tales como cambiar la funcionalidad del servicio de ejecución automática para ejecutar archivos ejecutables maliciosos en el inicio del sistema. ransomware venganza también roba información confidencial de los navegadores web de la computadora infectada y esto puede incluso incluir contraseñas y nombres de usuario de inicio de sesión. Esta actividad es muy típico de los virus ransomware evolucionados, conocido como doxware.

La venganza ransomware - Proceso de cifrado

Para la encriptación de ransomware venganza, múltiples procesos diferentes se inician en el Administrador de tareas de Windows para asegurarse de que es ininterrumpida. El procedimiento de cifrado objetivos de más de 400 diferentes tipos de archivos, incluyendo fotos, archivo, documentos, vídeos y otros contenidos ampliamente utilizado. Cuando armamos todas las extensiones de archivo, junto, la lista de archivos cifrados, si se detecta, se vuelve bastante grande:

.1CD, .3DM, .3DS, .3FR, .3G2, .3GP, .3PR, .7Desde, .7cremallera, .AAC, .AB4, .ABD, .ACC,.ACCDB, .ACCDE, ..accdr, .ACCDT, .PERO, .ACR, .ACTO, .ADB, .ADP, .ADS, .AGDL, .AI, .AIFF, .AIT, .Alabama, .AOI, .APJ, .APK, .ARW, .ASCX, .ASF, .ASM, .ÁSPID, .ASPX, .ACTIVO, .ASX, .ATB, .AVI, .AWG, .ESPALDA, .APOYO, .backupDB, .DETRÁS, .BANCO, .BAHÍA, .BDB, .BGT, .BIK, .COMPARTIMIENTO, .BKP, .MEZCLA, .BMP, .BPW, .BSA, .C, .EFECTIVO, .BDC, .CDF, .CDR, .CDR3, .CDR4, .CDR5, .CDR6, .CDRW, .CDX, .EC1, .CE2, .CER, .CFG, .CFN, .CGM, .CIB, .CLASE, .CLS, .CMT, .CONFIG, .CONTACTO, .IPC, .CPP, .CR2, .CRAW, .CRT, .CRW, .LLORAR, .CS, .CSH, .CSL, .CSS, .CSV, .D3DBSP, .DAC, .LA, .QUE, .DB .DB_JOURNAL, .DB3, .DBF, .DBX, .DC2, .DCR, .DCS, .DDD, .NOC, .NRW, .DDS, .DEF, .LA, .UNOS O UNAS, .DISEÑO, .DGC, .DGN, .ESTE, .DjVu, .DNG, .DOC, .DOCM, .DOCX, .PUNTO, .DOTM, .DOTX, .DRF, .DRW, .DTD, .DWG, .DXB, .DXF, .DXG, .EDB, .EML, .EPS, .ERBSQL, .FER, .EXF, .FDB, .FFD, .FFF, .FH, .FHD, .FLA, .FLAC, .FLB, .FLF, .FLV, .FLVV, .FRAGUA, .FPX, .FXG, .GBR, .El AGH, .GIF, .GRIS, .GRIS, .GRUPOS, .JUEGOS, .H, .HBK, .HDD, .HPP, .HTML, .iBank, .EII, .IBZ, .IDX, .IIF, .IIQ, .INCPAS, .INDD, .INFO, .info_, .IWI, .TARRO, .JAVA, .BUS, .JPE, .JPEG, .JPG, .JS, .JSON, .K2P, .KC2, .KDBX, .KDC, .CLAVE, .KPDX, .HISTORIA, ..laccdb, .LBF, .LCK, .LDF, .ILUMINADO, .LITEMOD, .LITESQL, .BLOQUEAR, .LTX, .CONTACTO, .M, .M2TS, .M3U, .N4A, .M4P, .m4v, .Massachusetts, .MAB, .MAPIMAIL, .MAX, .MBX, .Maryland, .MDB, .MDC, .MDF, .MEF, .MFW, .MEDIO, .MKV, .MLB, .MMW, .MNY, .DINERO, .MoneyWell, .MOS, .MOV, .MP3, .MP4, .MPEG, .MPG, .MRW, .MSF, .MSG, .MTS, .MYD, .DAKOTA DEL NORTE, .DDN, .NDF, .NEF, .NK2, .NOP, .NRW, .NS2, .NS3, .NS4, .NSD, .NSF, .NSG, .NSH, .NVRAM, .LNA, .NX2, .NXL, .NYF, .OAB, .OBJ, .ODB, .ODC, .ODF, .RESPUESTA, .ODM, .ODP, .SAO, .ODT, .OGG, .PETRÓLEO, .Dios mio, .UNO, .ORF, .OST, .OTG, .OTH, .OTP, .OTS, .OTT, .P12, .P7B, .P7C, .AYUDA, .PÁGINAS, .NO, .PALMADITA, .PBF, .PCD, .PCT, .AP, .PDD, .PDF, .PEF, .PFX, .PHP, .PIF, .PL, .SOCIEDAD ANÓNIMA, .PLUS_MUHD, .PM!, .PM, .PYME, .PMJ, .LMP, .PMM, .PMO, .PMR, .PNC, .PND, .PNG, .PNX, .MACETA, .POTM, .Potx, .PDMA, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIVADO, .PD, .PSAFE3, .PSD, .PspImage, .PST, .PTX, .PUB, .PWM, .PY, .QBA, .QBB, .QBM, .GIM, .QBW, .QBX, .QBY, .qcow, .qcow2, .QED, .QTB, .R3D, .RAF, .RAR, .RATA, .CRUDO, .RDB, .RE4, .RM, .RTF, .RVT, .RW2, .RWL, .RWZ, .S3DB, .SEGURO, .SAS7BDAT, .MAR, .SALVAR, .DECIR, .SD0, .SDA, .SDB, .SDF, .SH, .SLDM, .SLDX, .SLM, .SQL, .SQLITE, .sqlite3, .SQLITEDB, .SQLITE-SHM, .SQLITE-WAL, .SR2, .SRB, .SRF, .SRS, .SRT, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .STC, .enfermedades de transmisión sexual, .ITS, .STL, .STM, .STW, .STX, .SVG, .SWF, .SXC, .SXD, .SXG, .ella, .SXM, .SXW, .IMPUESTO, .TBB, .TBK, .TBN, .TEXAS, .TGA, .THM, .TIF, .PELEA, .TLG, .TLX, .TXT, .UPK, .USR, .VBOX, .VDI, .VHD, .VHDX, .VMDK, .VMSD, .VMX, .VMXF, .VOB, .VPD, .VSD, .WAB, .TACO, .BILLETERA, .GUERRA, .WAV, .WB2, .WMA, .WMF, .WMV, .WPD, .WPS, .X11, .X3F, .PELÍCULA, .XLA, .XLAM, .XLK, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .XPS, .XXX, .YCBCRA, .YUV, .Fuente postal: id-ransomware.blogspot.bg

Para el proceso de cifrado, ransomware venganza informes, utiliza dos tipos de algoritmos de cifrado que son a la vez muy fuerte:

  • RSA-1024
  • AES-256

Para el proceso de cifrado específica de los archivos, el sistema de cifrado AES se puede utilizar. Bytes de los archivos originales se reemplazan con los datos cifrados y los archivos ya no se puede abrir vuelven. Después de que el procedimiento está completo, el sistema de cifrado RSA se puede aplicar, además, para generar las claves de descifrado únicas, lo cual hace que el descifrado aún más difícil y muy poco probable.

Los archivos se añaden al .extensión de archivo venganza después de que el proceso de cifrado se ha completado y que también pueden contener un ID víctima, el nombre del archivo en un formato codificado, un 8 cadena de caracteres y otro nombre de archivo en una 8 carácter cifrado formato y después de todos estos, los archivos se anexa la extensión. Pueden parecerse a la siguiente:

Después de que el proceso de cifrado es completa, la # !!!HELP_FILE!!! #.TXT aparece en el equipo infectado. Tiene el mismo mensaje escrito en 5 idiomas (Inglés, italiano, alemán, polaco, coreano):

Retire venganza ransomware y restauración de archivos .REVENGE

Antes de realizar cualquier tarea de eliminación de estas infecciones ransomware, investigadores de malware recomiendan fuertemente para centrarse en copias de seguridad de los archivos que han sido cifrados por esta infección ransomware, por si acaso.

Entonces, le recomendamos que siga la guía de eliminación paso a paso por debajo del cual le mostrará cómo eliminar la infección ransomware la venganza de tu ordenador de forma permanente. En caso de que carecen de la experiencia para realizar una extracción manual, los expertos siempre aconsejan tomar el enfoque que se llevó a cabo de forma automática. Incluye la descarga e instalación de un programa anti-malware avanzado que se encargará del virus de la venganza rápida y proteger su equipo también en el futuro.

Después de tener cuidado ya tomadas de los objetos maliciosos caído por venganza en su ordenador, recomendaciones son para tratar de restaurar los archivos utilizando herramientas alternativas, como las que se sugieren en el paso "2. Restaurar archivos cifrados por venganza " abajo. Estas herramientas son de ninguna manera garantiza que va a recuperar todos sus datos encriptados, sin embargo, son una buena alternativa, porque al menos algunos de los archivos pueden ser recuperados de esta manera.

eliminar manualmente venganza desde el ordenador

Nota! Sustancial notificación acerca de la Venganza amenaza: La extracción manual de Venganza requiere la interferencia con los archivos del sistema y los registros. Por lo tanto, que puede causar daño a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no te preocupes. Usted puede hacer la eliminación ti mismo en 5 acta, usando un herramienta de eliminación de software malicioso.

1. Arrancar el PC en modo seguro para aislar y eliminar archivos y objetos Revenge
2.Encontrar archivos maliciosos creados por venganza en su PC

eliminar automáticamente venganza mediante la descarga de un programa anti-malware avanzado

1. Retire la venganza con la herramienta de SpyHunter Anti-Malware y realizar copias de seguridad de los datos
2. Restaurar archivos cifrados por venganza
Opcional: Uso de las herramientas Alternativa Anti-Malware

Vencislav Krústev

Un administrador de red e investigador de malware de SensorsTechForum con pasión por el descubrimiento de nuevos cambios e innovaciones en seguridad cibernética. firme creyente en la educación básica de todos los usuarios respecto a la seguridad en línea.

Más Mensajes - Sitio web

2 Comentarios

  1. Carlos Mario Nieto Gomez

    BS DIAS EWSTOYB INFECTADO CON EL VIRUS, TODOS MIS ARCHIVOS TIENEN EXTENSIÓN .SAGE Y QUEDARON INUTILES. NO LOS PUEDO ABRIR. NO PUEDO RESTAURAR POR QUE BORRO TODOS LO S PUNTOS DE RESTAURACION, BAJE LA HERRAMIENTA SPY HUNTER V 4.0, ELIMINO ALGUNAS AMENAZAS PERO NINGUNA CON RELACION A ESE VIRUS. BAJE OTRA HERRAMIENTA PARA RECUPERACION DE ARCHIVOS PERO NO ME RECUPERO TODO. ¿ Hay alguna manera de restaurar los archivos a su estado original? o el virus borra el archivo original y crea una copia con la extension *.sage? entonces toca recuperar con software de recuperacion de archivos?. muchas gracias. mi Nombre es carlos mario nieto de santa marta, Magdalena, colombia Email; [email protected], 3004823295 – 4224508 – 4203362

    1. Vencislav Krústev

      Hola, a partir de lo que ha escrito, entiendo que haya sido infectado por Sage ransomware. Para obtener más información sobre la salvia, visite el siguiente artículo:

      http://sensorstechforum.com/sage-2-2-ransomware-restore-sage-virus-files/

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...
Por favor espera...

Suscríbete a nuestro boletín

¿Quieres recibir un aviso cuando se publique nuestro artículo? Introduzca su dirección de correo electrónico y nombre para ser el primero en saber.