.Virus de archivos triste eliminar y restaurar datos - Cómo, Foro de Tecnología y Seguridad PC | SensorsTechForum.com
eliminan la amenaza

.Virus de archivos triste eliminar y restaurar datos

Artículo creado para ayudar con información e instrucciones sobre como remover SADStory ransomware y tratar de descifrar los archivos cifrados .sad.

Un nuevo ransomware escrito en Python ha sido reportado para cifrar los archivos en los ordenadores infectados por él y luego dejarlos con la .extensión de archivo triste. Los archivos no se pueden abrir después del cifrado es completa y deja que el virus detrás de una SADStory_README_FOR_DECRYPT.txt fichero del cual es una nota de rescate con las instrucciones, extorsionar a los usuarios pagan una cuota de rescate en 96 horas. Si no se paga un rescate, los delincuentes cibernéticos amenazan con destruir cualquier posibilidad de descifrado. Si usted ha sido víctima del virus ransomware .sad, recomendamos leer el siguiente artículo para eliminarlo y restaurar archivos cifrados por este virus.

Resumen de amenazas

Nombre

SADStory

EscribeEl ransomware
Descripción breveEl software malicioso cifra los archivos de los usuarios que utilizan un algoritmo de cifrado fuerte, haciendo descifrado directa posible sólo a través de una clave de descifrado única disponible para los delincuentes cibernéticos.
Los síntomasEl usuario puede presenciar y notas de rescate “instrucciones”, llamada SADStory_README_FOR_DECRYPT.txt ligarse a poner en contacto los ciberdelincuentes. Cambió los nombres de archivo y la .sad-extensión de archivo se ha utilizado.
Método de distribuciónA través de un paquete de exploits, ataque al archivo DLL, JavaScript malicioso o una descarga dirigida del propio programa malicioso de manera ofuscado.
Herramienta de detección Ver si su sistema ha sido afectado por SADStory

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuarioÚnete a nuestro foro para discutir SADStory.
Herramienta de recuperación de datosVentanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.

.Triste virus ransomware – ¿Cómo se Infect

Para el proceso de infección de este ransomware para tener éxito, los delincuentes cibernéticos detrás de él se pueden utilizar más de uno técnicas de distribución. Una de las técnicas que podrían ser utilizados por los creadores del virus es utilizar una base de datos de correos electrónicos falsos con el fin de enviar mensajes masivos de spam a las víctimas. Estos mensajes pueden ser enviados automáticamente a través de robot de spam que controla las cuentas del remitente.

Los correos electrónicos enviados distribución de ransomware SADStory pueden tratar de convencer a las víctimas para que abra un archivo adjunto de correo electrónico malintencionado o hacer clic en un enlace web. Hacer esto, declaraciones convincentes múltiples pueden explicarse, que la importancia aumento. Los spammers pueden engañar de que una compra se ha realizado en su nombre y que incluso puede utilizar el nombre de su cuenta de correo electrónico para aumentar aún más la confianza y la probabilidad de que abra el archivo adjunto. Los archivos adjuntos son por lo general pretenden ser archivos de factura, así como diferentes archivos que se cuenta los documentos de actividad y las cartas de confirmación.

Además de esta forma de correo no deseado, puede haber varios otros métodos por los cuales el virus de archivo .sad puede causar una infección:

  • A través de instaladores falsos subidos en los sitios web de sombra.
  • Si los parches o grietas juego corruptos se cargan desde cuentas hackeadas de torrente en los sitios web de torrent legítimos.
  • Por el navegador malicioso redirecciones causados ​​por aplicaciones no deseadas(Aplicaciones potencialmente Unwatned) instalado en el PC con desconfianza víctima.

Cualquiera que sea el caso, una vez a la víctima hace clic en un objeto de infección maliciosa, el virus puede ser activado en un modo ofuscado, sin ser detectado. Entonces, poco después de, una conexión puede hacerse a uno o más de los siguientes hosts:

  • wayofwines.com/ReadMe.php
  • www.lilywho.ie
  • ow.ly/{URL personalizada}

Después de este, la carga útil del virus de archivo .sad puede ser descargado en el ordenador del usuario. La carga útil consta de los siguientes archivos:

  • mw.exe ubicado en el directorio% TEMP%
  • {nombre aleatorio}.pdf.exe
  • Léeme-how_to_get_free_office365-{Identificación única}.pdf.exe
  • _SAD HISTORIA FILES_

Los archivos se redujo pueden estar ubicados en varios directorios de Windows, como:

  • %AppData%
  • %Local%
  • %Temperatura%
  • %Itinerancia%
  • %LocalRow%
  • %Documentos%

.Triste virus de archivo - Infección Actividad

Después de la infección del equipo, el ransomware SADStory puede comenzar a cerrar ciertos procesos del sistema en la máquina infectada. Entonces, El virus también puede ejecutar algunos comandos en comandos de Windows. Los comandos pueden cambiar ciertos ajustes en la máquina infectada, lo que permite el cifrado de archivos para comenzar mientras ininterrumpida. Algunos de estos comandos son por lo general:

→ llamado proceso de crear “cmd.exe / c
vssadmin.exe eliminar sombras / todas / quiet
bcdedit.exe / set {defecto} recoveryenabled sin
bcdedit.exe / set {defecto} ignoreallfailures bootstatuspolicy

Además de la modificación de la configuración a través de la línea de comandos de Windows, El virus también puede cambiar la configuración mediante la adición de los valores de registro con los datos personalizados en ellos en algunos sub-claves del registro de Windows. Entre los sub-llaves atacado puede ser el siguiente:

→ HKEY_CURRENT_USER Control Panel Desktop
HKEY_USERS .DEFAULT Control Panel Desktop
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

Después de haber hecho esto, El virus también puede caer de nota de rescate en el directorio% de inicio de Windows%, permitiendo que se abre automáticamente al iniciar el sistema. La nota lleva el nombre SADStory_README_FOR_DECRYPT.txt y tiene el siguiente contenido incrustado dentro de ella:

La dirección de correo electrónico utilizada para el contacto, Curiosamente es la misma dirección que se está utilizando para el publicado anteriormente Mireware y KimcilWare virus ransomware.

SADStory ransomware - Cifrado Proceso

Para el proceso de cifrado, el virus de archivo .sad puede provocar un reinicio del sistema, mostrando un falso mensaje de error. Después del reinicio, el virus puede ser configurado para añadir uno o más algoritmos de cifrado en un modo de encriptación pre-configurado. Por lo general busca los tipos de archivos ampliamente utilizados como:

  • Documentos.
  • Imágenes.
  • Videos.
  • Archivos de sonido.
  • archivos de base.

Entre los tipos de archivos cifrados por el virus ransomware .SAD puede ser el siguiente:

"PNG PSD .PspImage .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .xlr .XLS .XLSX Accdb .DB DBF MDB .PDB .SQL APK .APP .BAT .CGI .COM .EXE .gadget .JAR .PIF .wsf .DEM .gam .NES .ROM .SAV CAD DWG DXF SIG archivos .kml .GPX .KMZ .ASP .ASPX .CER .CFM .CSR .CSS HTM .HTML .JS .JSP .PHP .RSs .xhtml. DOC DOCX .LOG .MSG .ODT .páginas RTF .tex .TXT .WPD .WPS .CSV .DAT .GED .KEY .keychain .PPS .PPT .PPTX ..INI .PRF archivos codificados .HQX .mim .uue .7z .cbr .DEB .GZ .PKG RAR .RPM .SITX .TAR.GZ .ZIP .zipx BIN CUE .DMG .ISO .MDF dress.Toast .vcd SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio archivos archivos .AIF .IFF .M3U .M4A .MID .MP3 .mpa WAV WMA vídeo .3G2 .3GP .ASF .AVI FLV MOV MP4 .M4V .MPG .RM SRT .SWF VOB WMV 3D 3DM .3DS .MAX OBJ R.BMP .dds .GIF .JPG ..CRX .plugin .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .dmp .DRV .icns ICO LNK .SYS .CFG "Fuente:fileinfo.com

Para el proceso de cifrado, bytes de los archivos que son originales son reemplazados con la misma información, pero en símbolos del algoritmo encriptado. Esto hace que los archivos ya no podrá ser abierta después de que se. Para los archivos también se anexa una extensión de archivo, distintiva al virus SADStory – .triste. Pueden parecerse a la imagen siguiente ejemplo:

El virus puede entonces conectarse a un host remoto y enviar las claves de descifrado única para los delincuentes cibernéticos detrás de él. El virus también puede permanecer activo en el ordenador infectado y borrar un archivo al azar de la computadora infectada cada 6 horas.

Retire SADStory ransomware y restauración .sad archivos cifrados

Befoe la eliminación de SADStory ransomware, lo primero que se aconseja que hacer es copia de seguridad de los archivos cifrados inmediatamente después de la infección. Esto es principalmente porque el virus borra un archivo cada 6 horas.

Entonces, para eliminar el virus de archivo .sad, recomendaciones han de seguir las instrucciones de eliminación en virtud de este artículo. Están diseñados para ayudar a aislar y eliminar archivos que pertenecen a este virus con el fin metodológico que es aconsejable. También, Si usted no tiene la experiencia en el seguimiento de las instrucciones del manual, investigadores de malware, recomendamos seriamente utilizar un programa anti-malware avanzado que automáticamente se encargará del proceso de eliminación para usted y proteger el equipo en el futuro, así.

Después de la eliminación del archivo de ransomware .sad se hace, es el momento de pensar en lo que son sus alternativas para recuperar los archivos, en lugar de tener que pagar el rescate. Hemos publicado varias sugerencias sobre los métodos con los que se puede recuperar sus archivos, situado en el paso "2. Restaurar archivos cifrados por SADStory” abajo. Estos pueden no ser 100 por ciento de efectividad, pero también podrían ayudar a recuperar algunos archivos codificados. Mientras tanto también aconsejan seguir esta página web, porque vamos a actualizar tan pronto como investigadores de malware tienen un gran avance con respecto descifrado libre.

avatar

Ventsislav Krastev

Ventsislav ha estado cubriendo los últimos malware, desarrollos de software y de la más alta tecnología en SensorsTechForum para 3 años. Comenzó como un administrador de red. Tener la comercialización graduado, así, Ventsislav también tiene pasión por el descubrimiento de nuevos cambios e innovaciones en seguridad cibernética que se convierten en cambiadores de juego. Después de estudiar Administración de la Cadena de Valor y luego de administración de redes, que encontró su pasión en cybersecrurity y es un firme creyente en la educación básica de todos los usuarios respecto a la seguridad en línea.

Más Mensajes - Sitio web

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...