Scarabey ransomware - Cómo quitar + Restaurar archivos .scarab
eliminan la amenaza

Scarabey ransomware - Cómo quitar + Restaurar archivos .scarab

Este artículo ha sido creado con el fin de ayudarle al explicar cómo quitar Scarabey ransomware virus de su sistema informático y cómo restaurar .escarabajo cifrada archivos.

Una nueva versión del virus ransomware ransomware Escarabajo notoria, autodenominado Scarabey, que afectó a la computadora en el verano del año pasado ha vuelto a aparecer en una nueva iteración de acuerdo con el malware investigador pasando por el apodo vhioureas. El propósito principal del software malicioso es hacer que los archivos en su computadora después de que encripta los que ya no pueden ser abiertos hasta que pague una tarifa de rescate considerable con el fin de obtener los archivos restaurados de nuevo a su estado original. En el caso de que su PC ha sufrido un ataque con la nueva variante de ransomware Escarabajo, le recomendamos fuertemente para eliminar este malware y tratar de restaurar los archivos cifrados .scarab, preferiblemente mediante la lectura del siguiente artículo.

Resumen de amenazas

NombreScarabey ransomware
EscribeEl ransomware, Cryptovirus
Descripción breveObjetivos para cifrar los archivos en los equipos que están infectadas por ella y luego los mantienen hostageuntil la víctima sigue las instrucciones que aparecen en el mismo de la nota de rescate.
Los síntomasLa infección del escarabajo ransomware deja tras de los archivos ya no se puede abrir con la extensión de archivo .scarab a ellos.
Método de distribuciónLos correos electrónicos de spam, Archivos adjuntos de correo electrónico, Archivos ejecutables
Herramienta de detección Ver si su sistema ha sido afectado por Scarabey ransomware

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuarioUnirse a nuestro foro para discutir Scarabey ransomware.
Herramienta de recuperación de datosVentanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.

Scarabey v2 ransomware - Proceso de infección

Con el fin de infectar a las víctimas, la nueva variante de ransomware escarabajo tiene como objetivo llevar a cabo serie de actividades en el PC víctima, dirigidas principalmente a las víctimas a través de una caída RDP de archivos en los ordenadores de las víctimas, así como servidores de la compañía.

Además, el virus no infecta directamente a través de muestras como está escrito en Dephi sin encapsulación el C ++ que significa que el virus utiliza un método más sofisticado para la evasión y la detección.

En cuanto a los métodos de infección, el malware puede causar la infección a través de varios métodos diferentes, el más probable de los cuales son:

  • A través de las configuraciones de programas falsos.
  • A través de las grietas de software fraudulentas o activadores de licencia.
  • A través de otros programas disponibles en línea falsos.
  • A través de los documentos que parecen legítimos y se envían a través de correos electrónicos no deseados como archivos adjuntos de correo electrónico.
  • A través de enlaces web enviados como mensajes de correo basura en las secciones de comentarios o chats de medios sociales.

Scarabey v2 ransomware - Análisis y Actividad

Escarabajo de ransomware nueva versión que ha sido creada con más habilidades para realizar actividades maliciosas en los ordenadores victima. La nueva variante puede ser reconocido por su nota de rescate que conduce expertos a creer que puede traducirse a través de Google Translate del Ruso al Engish. La nota de rescate, llamado englishTansRansomSCARAB.txt, proporciona el siguiente mensaje a las víctimas:

Buena tarde. El ordenador ha sido infectado con Scarabey. Todos los datos se cifran con una clave única, que es sólo con nosotros.
Sin una clave única – los archivos no se pueden restaurar.
24 se borran todos los archivos 24 horas. (tenemos copias de los mismos)
Si no se ejecuta el programa de descifrado dentro 72 horas, todos los archivos en el equipo están completamente borrados, sin posibilidad de recuperación.
Lea cuidadosamente cómo recuperar los datos cifrados aII.
Scarabey
Puede restaurar los archivos de la siguiente manera:
1. en contacto con nosotros por e-mail: Support56@cock.li
Envíe su ID y 2 archivos, hasta 1 mB cada uno.
Les descifrar, para demostrar la posibilidad de descifrar.
También recibirá instrucciones sobre el pago. (el pago será en bitcoin)
reportar su ID y vamos a desactivar el borrado de archivos
(Si no proporciona su ID, cada 24 horas serán
borrado 24 archivos. Si usted le dice ID- vamos a apagarlo) 5
2. pagar y confirmar el pago.
3. Tras el pago recibirá un decodificador. Que restaurará sus datos y apagar la función de eliminación de archivos.
Tienes 48 horas para pagar.
Si no tiene tiempo para pagar 48 horas, el precio de descifrado se incrementa por 2 veces.
Para recuperar archivos, sin pérdidas, y en un porcentaje mínimo, usted debe pagar en el plazo 48 horas.
l Para obtener instrucciones detalladas, Por favor, póngase en contacto con e-mail: Support56@cock.li
-Después de iniciar el decodificador, los archivos se decodifican en una hora.
Si intenta escanear o descifrar los datos usted mismo – usted puede perder sus archivos para siempre.
Decodificadores de otros usuarios son incompatibles con sus datos, como cada usuario
única clave de cifrado
Tu identificación

Además de esto, varios otros cambios también se introducen con esta variante de la ransomware, por lo que es más peligroso. Mientras que en la versión original del software malicioso que dice que cuanto más tiempo que espera la víctima, el precio del rescate es probable que suba, el más reciente Scarabey Versión pretende eliminar directamente 24 archivos cada una 24 horas, que es bastante motivador para pagar el rescate. Sin embargo, investigadores fueron más tarde capaz de establecer que esto es sólo una táctica de miedo por los delincuentes cibernéticos con el fin de llevar a las víctimas a pagar el rescate más rápido.

Cuando echamos un vistazo al interior de los archivos de virus, rápidamente se hace evidente que la Scarabey ransomware de última versión está escrita en Delphi. Su curso de acción inicial después de que el virus infecta el ordenador es comprobar si ha sido corrió antes en el equipo infectado por el control de los parámetros en el ordenador atacado por ella.

El malware también comprueba si la siguiente clave del registro de Windows se ha configurado en el dispositivo atacado:

→ Software ILRTISo inactivo

Si se está ejecutando OFR primera vez en el PC víctima, el virus se ejecuta el siguiente comando en el símbolo del sistema de Windows como administrador con el propósito de existir en el directorio% Temp% bajo el nombre sevnz.exe:

→ / C copia cmd.exe / y C:\Usuarios VirusLab Desktop 9a02862ac95345359dfc3dcc93e3c10e.exe “C:\Usuarios VirusLab AppData Roaming sevnz.exe”

Después de hacerlo, el virus Scarabey ransomware se ejecuta un proceso que ejecuta el archivo sevnz.exe, copiado previamente:

→ %AppData% Roaming sevnz.exe

Después de hacerlo, el malware se abre el proceso de cmd.exe a través de un código JavaScript que desencadena una secuencia de comandos. El guión ha sido informado de que la siguiente:

→ “Mshta.exe“javascript:o = new ActiveXObject(‘Scripting.FileSystemObject’);setInterval(función(){tratar{o.DeleteFile(‘9a02862ac95345359dfc3dcc93e3c10f.exe’);cerca()}captura(es){}},10);“”

Esta orden tiene por objeto eliminar el proceso del virus después de que se haya completado la actividad de. Además de esto, la nueva versión del escarabajo ransomware También se ha informado a eliminar directamente las instantáneas de volumen en el sistema informático infectado para evitar que las víctimas recuperen sus datos:

→ ActiveXObject(“WScript.Shell”);
cmd.exe / c Wbadmin DELETE systemstatebackup -keepVersions:0"
cmd.exe / c wmic ShadowCopy BORRAR”
cmd.exe / c vssadmin Eliminar Sombras / Todo / Quiet”
cmd.exe / c bcdedit “
nueva ActiveXObject(“WScript.Shell”
cmd.exe / c wbadmin DELETE systemstatebackup-keepVersions:0"
cmd.exe / cwmicSHADOWCOPYDELETE”0
cmd.exevssadminDeleteShadows / Todo / Quiet”
cmd.exe / c bcdedit / set {defecto} Sin recoveryenabled”,
cmd.exe / c bcdedit / set {defecto} ignoreallfailures bootstatuspolicy”

Entonces, la Scarabey ransomware la infección lleva a cabo una actividad más sofisticada e inteligente que elimina por completo la defensa del archivo de Windows. Las actividades de este malware consisten en el cierre de los procesos que son importantes para Windows y que pueden evitar que el malware de la modificación (encriptación) los archivos en el equipo afectado. Sin embargo, la mayoría de estos procesos, si está activo y se terminó, será reactivado por Windows y esta es la razón, el virus tiene un hilo que se “ve” para los procesos que se reactivan en un corto espacio de tiempo y tan pronto como se ejecutan de nuevo, el malware se cierra por completo esos procesos. Los procesos de Windows dirigidos por Scarabey son los siguientes:

→ agntsvc.exe
isqlplussvc.exe
ncsvc.exe
msftesql.exe
Sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlserver.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe;
mydesktopqos.exe
agntsvc.exe
isqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exe
agntsvc.exe
agntsvc.exe
encsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe

Scarabey virus ransomware – proceso de cifrado

El software malicioso preformas una llamada bucle de cifrado que es básicamente comprobando una y otra vez para un mutex que puede evitar que el cifrado, sobre la base de criterios específicos. Sin embargo, si no se encuentra tal mutex, el malware comienza a realizar el cifrado por el control de absolutamente todas las carpetas y archivos, evitando cuidadosamente los archivos que son de la .dll y .exe formatos de archivo. Cuando el Scarabey ransomware versión realiza el procedimiento de cifrado, el malware utiliza el algoritmo de cifrado AES en los archivos que es con una fuerza de 256 bits y un AES-ALGO función con la etiqueta. El virus encripta cada archivo utilizando bloques de 16-characted, lo cual es normal, ya que se está ejecutando encriptación AES y cada una de las 16 characted bloques del archivo que codifica son de 128 bits cifrado. Además de esto, el ransomware también realiza otra actividad cifrado whih es aplicar la CBS (Cipher Block Chaining). Esta es la vinculación esencialmente los archivos uno a otro con el fin de vincularlos en una cadena de hacer, además, el descifrado de los archivos más difícil. Así que si tuviéramos que explicar esto la forma más sencilla es si tiene el archivo A y archivo B que está cifrado de archivos después de una, parte del código en el archivo A sirve como identificación y de inicialización que el siguiente bloque de datos cifrados se encuentra en el archivo B. Así que para determinar cómo descifrar el archivo B, usted está obligado a mirar en código de archivo de un e investigar cual es el siguiente archivo.

Pero para descifrar los archivos reales también es casi imposible, ya, el algoritmo en sí también genera una clave de descifrado única que es asimétrica y sólo pagar el rescate hasta ahora se puede obtener esa clave acompañado de un software de descifrado. Sin embargo, si se encuentra con sus archivos a cifrar con la extensión de archivo .scarab añadido a ellos, expertos aconsejan no pagar el rescate como:

  • Usted apoya sus operaciones cibernéticas-penal.
  • Que no puede garantizar que va a obtener los archivos de nuevo después de pagar.

Cómo quitar Scarabey ransomware y restauración .scarab archivos cifrados

Con el fin de asegurarse de que este malware se ha ido permanentemente del ordenador, usted debe seguir las instrucciones de eliminación manual o automática abajo. Si usted tiene la experiencia en la eliminación de ransomware manualmente, le recomendamos que se concentre en la primera 2 pasos de la extracción manual y para detectar los archivos de registro que hemos explicado en la parte anterior análisis. De lo contrario, Si desea una solución más automático y más rápido y carecen de la experiencia en la eliminación de malware, le instamos a descargar un programa anti-malware avanzado, que tiene como objetivo realizar automáticamente la operación de eliminación de ransomware Escarabajo y protege el ordenador contra futuras infecciones en tiempo real,.

Si desea restaurar los archivos que han sido cifrados por esta infección ransomware, le recomendamos que pruebe las herramientas alternativas para la recuperación de archivos abajo en el paso “2. Restaurar archivos cifrados por .scarab archivos de virus”. Ellos no pueden garantizar totalmente que va a recuperar todos los archivos, pero si no se ha vuelto a instalar su sistema operativo ya, hay una buena probabilidad de que apenas los restaurar.

avatar

Ventsislav Krastev

Ventsislav ha estado cubriendo los últimos malware, desarrollos de software y de la más alta tecnología en SensorsTechForum para 3 años. Comenzó como un administrador de red. Tener la comercialización graduado, así, Ventsislav también tiene pasión por el descubrimiento de nuevos cambios e innovaciones en seguridad cibernética que se convierten en cambiadores de juego. Después de estudiar Administración de la Cadena de Valor y luego de administración de redes, que encontró su pasión en cybersecrurity y es un firme creyente en la educación básica de todos los usuarios respecto a la seguridad en línea.

Más Mensajes - Sitio web

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...