La eliminación RotorCrypt ransomware - Restaurar archivos .Black_OFFserve
eliminan la amenaza

La eliminación RotorCrypt ransomware - Restaurar archivos .Black_OFFserve

RotorCrypt imagen ransomware

Nuestra RotorCrypt guía eliminación ransomware muestra cómo los usuarios de computadoras pueden restaurar sus ordenadores desde el peligroso virus. Altera ajustes importantes en el sistema y puede dar lugar a nuevas infecciones. Lea nuestro artículo en profundidad para aprender más sobre él.

Resumen de amenazas

NombreRotorCrypt
EscribeEl ransomware, Cryptovirus
Descripción breveEl ransomware RotorCrypt es un virus peligroso que asigna .Black_OFFserve la extensión de los archivos comprometidos. sistema de la víctima también se modifica y malware adicional puede ser instituida en ellas.
Los síntomasLas víctimas se dará cuenta de que una gran parte de sus datos va a ser cifrado con un potente sistema de cifrado y renombrado utilizando una extensión de plantilla. También pueden experimentar problemas de rendimiento significativas, fallo de aplicación y otros tipos de daños.
Método de distribuciónLos correos electrónicos de spam, Archivos adjuntos de correo electrónico
Herramienta de detección Ver si su sistema ha sido afectado por RotorCrypt

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuarioUnirse a nuestro foro para discutir RotorCrypt.
Herramienta de recuperación de datosVentanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.

RotorCrypt ransomware - Formas de Distribución

El virus RotorCrypt es un ejemplo bien conocido de la familia del ransomware que comparte el mismo nombre. Un nuevo muestras de virus se ha identificado que parece ser una versión personalizada de código antes.

La actual ola de RotorCrypt ransomware se distribuye principalmente utilizando los métodos tradicionales de entrega. Dependiendo de la campaña de ataque a los criminales pueden optar por usar mensajes de correo electrónico de spam mediante el aprovechamiento de diferente la ingeniería social trucos. Los hackers suelen utilizar las plantillas que utilizan la mecánica de cálculo. Los criminales detrás del virus RotorCrypt realización específica de la .extensión Black_OFFserve cepa puede depender de varios tácticas cuando se distribuyen los mensajes de malware:

  • Los archivos adjuntos - Los archivos de virus se puede conectar directamente a los mensajes como archivos adjuntos bajo diferentes nombres. Las víctimas pueden ser obligados a abrirlos al hacerse pasar por el software o los servicios públicos de utilidad. tácticas avanzadas utilizan archivos protegidos por contraseña que contienen las cepas ransomware.
  • hipervínculos - Los delincuentes pueden incrustar enlaces que conducen a los archivos ejecutables ransomware Rotorcrypt. Por lo general, se disfrazan como enlaces de restablecimiento de contraseña, páginas de inicio de sesión, diálogos de confirmación u otras partes relacionadas de los servicios web más populares.
  • Los documentos infectados - Los criminales pueden utilizar documentos de virus que pueden incluir documentos de texto enriquecido, hojas de cálculo o presentaciones de interés de los usuarios. Una vez abierto las víctimas verá un indicador de notificación. Se les pide a habilitar las macros integradas (guiones). Si esto se hace que la infección se haya descargado desde un lugar remoto y comenzó en la máquina local.

Otra táctica popular para la propagación de malware es la creación de sitios de hackers controlado. Pueden representar sitios de descarga como legítimos, motores de búsqueda o vendedores y intento de entregar el archivo de virus. Una gran parte de ellos en realidad contienen instaladores de software de malware. Representan modifican los archivos de instalación extraídos de los vendedores oficiales. Los operadores de hackers detrás del virus .Black_OFFserve secuestran ellos e incluyen el componente de software malicioso. El instalador resultante es luego cargado en el sitio Hacker-operado relevante.

Los sitios de hackers controlado también pueden encontrarse a través secuestrador del navegador instancias. Los usuarios pueden obtener redirigido a la vía anuncios, guiones y estandartes colocados en otros sitios oa través de una secuestrador del navegador. Son extensiones de malware realizadas por los navegadores web más populares. Por lo general, la lista incluye las siguientes aplicaciones: Mozilla Firefox, Google Chrome, Safari, Microsoft Edge, Opera e Internet Explorer. Sus patrones de comportamiento estándar son para redirigir las víctimas a la página de descarga pirata informático controlado directamente o entregar la infección de forma automática. Son especialmente peligrosos, ya que pueden modificar adicionalmente para causar otros cambios en el sistema, así.

RotorCrypt ransomware - en Profundidad Descripción

El ransomware RotorCrypt ha sido visto en una nueva campaña de ataque. La nueva cepa utiliza el .extensión Black_OFFserve para diferenciarse de las muestras anteriores. Como todas las versiones actualizadas se trata de una variante personalizada del código original y, como tal, sigue los mismos patrones de comportamiento.

Después de la infección las muestras no empiezan inmediatamente a alterar el sistema, pero retrasan la ejecución de virus. Esto es parte de la familia de software malicioso la protección de sigilo mecanismo. Se retrasa la infección por el virus de propósitos con el fin de evadir cualquier análisis de firma y de comportamiento que se estén ejecutando. Otra estrategia que puede ser empleado también puede escanear el sistema para cualquier software de seguridad que se ejecuta (productos anti-virus, entornos de recinto de seguridad y depurar, así como máquinas virtuales). Si se encuentran sus motores en tiempo real se pueden desactivar o eliminar por completo. Dependiendo de la configuración pirata informático el virus puede borrarse a sí mismo para evitar la detección.

Uno se hace esto el propio motor ganchos de software malicioso a los procesos del sistema y se oculta en la carpeta de sistema de Microsoft Windows como un componente legítimo. Los expertos en seguridad han podido identificar varias campañas de ataque anteriores que esconden sus pistas del propio sistema, así.

Si las muestras asociadas con la extensión .Black_OFFserve son derivados directos que pueden suprimir los mensajes de error que son el resultado de su ejecución. El siguiente paso en el patrón de comportamiento es el la recopilación de información detallada proceso. Su objetivo es extraer dos tipos principales de datos que se envían directamente a los operadores de hackers:

  • Las métricas anónimas - Este tipo de información se refiere a la información del sistema, que se recaba para fines estadísticos por los hackers. Ejemplo de datos por lo general incluye la versión del sistema operativo y la fecha y hora de las infecciones.
  • Los datos de identificación personal - El motor de malware puede extraer información que puede exponer directamente la identidad usuarios. Esto puede incluir sus nombres, dirección, preferencias, intereses y etc..

cambios en el sistema también pueden afectar a la Registro de Windows mediante la manipulación de los valores existentes o crear otros nuevos. Este paso puede ser parte de la persistente estado de ejecución que se consigue. Permite a la instancia de software malicioso para bloquear automáticamente los intentos de eliminación de usuario manuales mediante un seguimiento constante de su comportamiento. También puede interactuar con el administrador de volúmenes de Windows lo que permite que el componente ransomware que afecta a los archivos ubicados en dispositivos de almacenamiento remoovable y recursos compartidos de red disponibles, así.

Estas infecciones pueden ser agrupados junto código de Troya que permite a los hackers para espiar a las víctimas en tiempo real, así como tomar el control de sus máquinas en un momento dado.

Un peligro adicional es el hecho de que las muestras ransomware RotorCrypt pueden recuperar todos los archivos de datos antes de la fase de cifrado. Esto es especialmente útil cuando los piratas informáticos intentan estrategias de chantajear a las víctimas.

El componente de software malicioso también elimina todos encontró instantáneas de volumen lo que hace que sea más difícil para los usuarios restaurar sus archivos. En estos casos, una solución de recuperación de datos profesional necesita ser utilizado, así.

RotorCrypt ransomware - Proceso de cifrado

Una vez que todas las infecciones tienen completan el componente ransomware se inicia. Es capaz de cifrar los archivos de usuario de acuerdo con un incorporado en la lista de extensiones de tipos de archivo de destino.

Una lista de muestra recuperada de versiones anteriores se dirige a los siguientes datos:

.1CD, .avi, .detrás, .bmp, .cf, .ufc, .csv, .db, .dbf, .djvu, .doc, .docx, .dt, .duende, .EPF, .erf, .exe,
.flv, .geo, .gif, .grs, .jpeg, .jpg, .LGF, .lgp, .Iniciar sesión, .megabyte, .CIS, .mdf, .MXL, .neto, .odt, .pdf, .png,
.pps, .ppt, .pptm, .pptx, .psd, .px, .rar, .prima, .st, .sql, .tif, .txt, .vob, .VRP, .xls, .xlsb, .xlsx,
.xml, .cremallera

Una adición notable a las extensiones de tipos de archivo de varias extensiones que se utilizan contra el libro de mantenimiento y software de negocios. Es muy probable que los operadores penales inician ataques contra estas víctimas.

Dependiendo de la campaña exacta que las víctimas pueden recibir diferentes notas ransomware. Con frecuencia son ajustados de acuerdo a los usuarios de las víctimas. Un mensaje genérico recuperado de una de las muestras se lee la siguiente:

Buen día
Sus archivos se cifraron / bloqueadas
Como prueba puede descifrar el archivo 1 a 3 1-30MB
El precio de las transcripciones de todos los archivos en el servidor: 7 Bitcoin
Recomendar a resolver el problema de forma rápida y no retrasar
También dar consejos sobre cómo proteger su servidor contra las amenazas de la red
(Los archivos de copia de seguridad de SQL MDF descifrado estrictamente después del pago)!

La campaña activa actual asigna la siguiente extensión de los archivos de la víctima: !== solución de la [email protected]==.Black_OFFserve.

No se encontraron anteriores Rotorcrypt ataques ransomware que cuentan con estos esquemas de cambio de nombre:

Retire RotorCrypt ransomware y restauración de archivos .Black_OFFserve

Si el ordenador se infectó con el RotorCrypt virus de ransomware, usted debe tener un poco de experiencia en la eliminación de software malintencionado. Usted debe deshacerse de este ransomware lo más rápido posible antes de que pueda tener la oportunidad de propagarse e infectar más otros ordenadores. Debe eliminar el ransomware y seguir la guía de instrucciones paso a paso se proporciona a continuación.

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes - Sitio web

Sígueme:
Gorjeogoogle Plus

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...