.Virus rumba fichiers - Comment faire pour supprimer ce
Suppression des menaces

.Virus rumba fichiers - Comment faire pour supprimer ce


Ce billet de blog a été créé avec l'objectif principal d'expliquer quelle est la variante de fichier .rumba STOP ransomware et vous montrer comment par lequel vous pouvez essayer de le supprimer de votre ordinateur.

Un nouveau virus de ransomware en passant par la .extension de fichier rumba a été détectée par des chercheurs de sécurité. Le virus vise à ajouter l'extension de fichier .rumba sur les fichiers qui ont été par elle cryptées. L'objectif principal du virus est de convaincre les victimes de payer une rançon pour récupérer leurs fichiers. Si votre ordinateur a été infecté par la variante ransomware de .rumba STOP, nous suggérons que vous lisez cet article.

Menace Résumé

Nom.Virus rumba fichiers
TypeRansomware, Cryptovirus
brève descriptionVariante du
Retirer la butée ransomware totalement. & Quot; ARRET" est le nom d'un cryptovirus. Suivez les instructions de suppression STOP ransomware prévu à la fin de l'article.
ARRÊT ransomware, une partie de la souche DJVU de ransomware. Vise à encyrpt fichiers sur l'ordinateur infecté, puis demander aux victimes de payer une rançon pour les récupérer.
SymptômesLes fichiers sont cryptés avec un ajouté .rumba extension de fichier. Le virus tombe alors une note de rançon, contenant le message d'extorsion de fonds.
Méthode de distributionspams, Email Attachments, Les fichiers exécutables
Detection Tool Voir si votre système a été affecté par le virus .rumba Fichiers

Télécharger

Malware Removal Tool

Expérience utilisateurRejoignez notre Forum pour discuter .rumba Virus Files.
Outil de récupération de donnéesWindows Data Recovery Stellar Phoenix Avis! Ce produit numérise vos secteurs d'entraînement pour récupérer des fichiers perdus et il ne peut pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d'entre eux, en fonction de la situation et si oui ou non vous avez reformaté votre lecteur.

.Virus rumba fichiers – méthodes de distribution

Les principales méthodes de distribution qui sont utilisés par le .rumba ransomware sont considérées comme via des campagnes de spam e-mail, qui sont mis à distribuer des fichiers malveillants qui leur sont rattachés, par exemple:

Les fichiers joints aux e-mails pourraient être des types de fichiers suivants:

  • .JS (fichiers JavaScript).
  • .DOCX(Microsoft Word avec macros malveillants).
  • .PDF(fichiers d'Adobe Reader).
  • .EXE(Executables).
  • .VBS (Visual Basic Script Files).

Les fichiers malveillants peuvent également être téléchargés sur les sites Web suspects, où ils pourraient faire semblant d'être différents types de programmes légitimes, comme:

  • logiciel portable.
  • fissures.
  • Patches.
  • Licence Activants.

Jusqu'ici, la variante .rumba STOP Ransomware a été signalé à répartis dans les pays suivants:

  • Pologne
  • Malaisie
  • Corée du Sud
  • Thaïlande
  • Indonésie
  • Ukraine
  • Venezuela
  • Equateur
  • Chili
  • Brésil
  • Dinde
  • Grèce
  • Egypte
  • Autres

Une autre façon de réplication qui a été récemment rapporté par le chercheur des logiciels malveillants Un ami à id-ransomware.blogspot.com est de se propager via mise à jour de Windows malveillants ou des programmes qui ont déjà été précédemment compromise:

.Virus rumba fichiers – Activité de l'infection et de l'analyse

Rumba ransomware est une partie de la famille des virus STOP ransomware des variantes, dont la plupart ont été détectés à utiliser les extensions suivantes:

Et cela est juste une partie des nombreuses variantes de

Retirer la butée ransomware totalement. & Quot; ARRET" est le nom d'un cryptovirus. Suivez les instructions de suppression STOP ransomware prévu à la fin de l'article.
ARRÊT Ransomware virus. Le virus est de type ransomware ce qui signifie qu'il vise à encoder vos fichiers, puis demande une somme énorme, autour $600 à payer dans le délai de 3 jours pour obtenir les cyber-criminels pour restaurer vos fichiers et si cela ne se fait pas, le virus de ransomware augmentera probablement le paiement d'une rançon.

Le fichier principal d'infection du virus .rumba a été rapporté par des chercheurs et transféré dans VirusTotal les informations suivantes:

→ SHA-256:48586462fb24005bcf8139ac2a8af0873b9bb99cb544fccaa24ac124c099beb9
Nom de fichier:vidage 2228224.mem
Taille du fichier:347.5 KB

Le fichier de virus a été signalé pour effectuer des requêtes HTTP vers des domaines qui ont été liés à rosalus.ug. Les demandes sont les suivantes:

→ GET Demande de hxxp://rosalos.ug/get_v2.php?pid = C28944D8AF49B3B7F79ED7D4845CB9B3
GET Demande de hxxp://rosalos.ug/xxx/updatewin1.exe

De plus, le virus peut utiliser les adresses IP suivantes pour communiquer:

  • 77.123.139.189:443
  • 185.120.56.96:80

Lors de l'infection, la variante .rumba STOP ransomware peut ouvrir les fichiers follwing sur l'ordinateur infecté:

→ \\.\PIPE ROUTER
\\.\PIPE lsarpc
c:\autoexec.bat
C:\48586462fb24005bcf8139ac2a8af0873b9bb99cb544fccaa24ac124c099beb9
C:\WINDOWS Enregistrement R000000000007.clb
C:\WINDOWS system32 rsaenh.dll

En outre, le virus peut lire et extraire des informations à partir des fichiers suivants:

→ c:\autoexec.bat
C:\48586462fb24005bcf8139ac2a8af0873b9bb99cb544fccaa24ac124c099beb9
C:\WINDOWS Enregistrement R000000000007.clb
C:\WINDOWS system32 rsaenh.dll

Peu de temps après cette, .rumba ARRÊT ransomware peut copier l'objet suivant dans le répertoire% AppData% de Windows:

→C:\Documents et paramètres\Application Local Settings Data 595e5c57-6a16-4ce3-b5da-63e1ccaec198 48586462fb24005bcf8139ac2a8af0873b9bb99cb544fccaa24ac124c099beb9

Pour certaines raisons, le même fichier qui a été copié est supprimé ultérieurement du même répertoire.

La .fichier rumba ransomware peut également créer le processus suivant, avec refus des paramètres:

→icacls C:\Documents et paramètres\Local Settings Application Data 595e5c57-6a16-4ce3-b5da-63e1ccaec198″ /refuser * S-1-1-0:(HI)(CI)(DE

pour synchroniser, .fichier rumba ransomware peut également créer et ouvrir le mutex RasPbFile.

Lors de l'infection, ARRÊT .rumba ransomware peut créer les fichiers système suivants de Windows:

→secur32.dll
shell32.dll
wsock32
ws2_32
comctl32.dll
rasapi32.dll
rtutils.dll
rpcrt4.dll
rasman.dll
c:\windows system32 msv1_0.dll
sensapi.dll
ntdll.dll
userenv.dll
netapi32.dll
version.dll
wintrust.dll
schannel
urlmon.dll
wininet.dll
c:\windows system32 mswsock.dll
dnsapi.dll
rasadhlp.dll
hnetcfg.dll
c:\windows system32 Wshtcpip.dll
c:\windows system32 schannel.dll
clbcatq.dll
kernel32.dll
psapi.dll
rsaenh.dll

Puis, le produit de ransomware à sa activité malveillante d'obtenir des privilèges d'administrateur et d'utiliser ces privilèges pour déposer la charge utile est, supprimer des copies d'ombre, copier des informations et modifier l'Éditeur du Registre de Windows.

Une fois infecté votre ordinateur, le virus de fichiers .rumba peut déposer des fichiers Il est de charge utile dans les répertoires Windows suivants;

  • %Fenêtres%
  • %AppData%
  • %Local%
  • %LocalLow%
  • %Roaming%
  • %Temp%

Une fois l'avoir fait, le ransomware de .rumba mA Chute également son fichier de note ransomware, qui est censé ressembler à ce qui suit:

---------------- Tous vos fichiers sont encryptées ----------------

Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers!
Tous vos fichiers documents, Photos, bases de données et d'autres importantes sont cryptées avec un cryptage et clé unique la plus forte.
La seule méthode de récupération de fichiers est d'acheter outil Décrypter et clé unique pour vous.
Ce logiciel décrypte tous vos fichiers cryptés.
Quelles garanties avons-nous de vous donner?
Vous pouvez envoyer un de votre fichier crypté à partir de votre PC et nous le déchiffrer gratuitement.
Mais nous pouvons déchiffrer seulement 1 déposer gratuitement. Fichier ne doit pas contenir des informations précieuses
Ne pas essayer d'utiliser un tiers des outils, car il décrypter détruira vos fichiers.
Remise 50% disponible si vous nous contactez d'abord 72 heures.

-----------------------------------------

Pour obtenir ce logiciel, vous devez écrire sur notre e-mail:

Réserve adresse e-mail pour nous contacter:

Votre identifiant personnel:
[expurgée 43 alphanumériques caractères]

En plus de faire ces activités, le virus de fichiers .rumba peut également modifier les sous-clés Run et RunOnce Windows sur les ordinateurs des victimes:

→ HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

En outre, le virus de fichiers .rumba peut également supprimer les copies d'ombre sur l'ordinateur victime en exécutant les commandes suivantes en tant qu'administrateur:

→ plomberie d'arrêt de sc
sc arrêt wscsvc
sc arrêt WinDefend
sc arrêt wuauserv
sc arrêter BITS
sc arrêter ERSvc
sc arrêter WerSvc
cmd.exe / C bcdedit / set {défaut} Aucune recoveryenabled
cmd.exe / C bcdedit / set {défaut} ignoreallfailures de bootstatuspolicy
C:\Windows System32 cmd.exe "/ C Vssadmin.exe Supprimer Ombres / Tous / Quiet

.rumba Ransomware – Processus de cryptage

Pour le virus de fichiers .rumba pour crypter les fichiers sur l'ordinateur compromis, le virus de ransomware peut d'abord faire une analyse du système des fichiers eux-mêmes. Cette analyse permettra au virus de détecter uniquement les fichiers qu'il est configuré pour chiffrer ces fichiers et tourner généralement être:

  • Les fichiers audio.
  • Les fichiers d'image.
  • types de fichiers de document.
  • Les fichiers vidéo.
  • Archives.
  • lecteurs virutal.

La .virus de fichiers rumba peut commencer à chiffrer les fichiers, en écrasant les blocs de données à partir de leur structure d'origine. Cela rend les fichiers qui ne peuvent pas être ouverts et commencent à apparaître comme l'image ci-dessous montre:

Retirer .rumba Virus fichiers et essayez de décrypter vos fichiers

Si vous voulez supprimer le virus de fichiers .rumba, nous vous suggérons d'utiliser les instructions de suppression sous cet article. Ils ont été créés pour vous fournir une assistance dans la recherche manuellement et en supprimant les fichiers malveillants de la .rumba ransowmare. Mais si la suppression manuelle ne semble pas aider, pour maximume effectivness, nous vous suggérons de supprimer ce virus à l'aide d'un logiciel anti-malware, comme la plupart des experts cyber-sécurité feraient. Un tel logiciel vise à identifier et à supprimer tous les objets malveillants, lié à .rumba ransomware de fichiers de votre ordinateur et assurez-vous de protéger votre ordinateur en temps réel aussi bien.

Heureusement, il y a un décryptage disponible pour tous les fichiers, crypté par la plupart des variantes STOP ransomware et si la variante .rumba fait partie de STOP ransomware, nous vous recommandons vivement de voir l'outil de décryptage pour arrêt ransomware si vous souhaitez restaurer vos fichiers. Il est disponible sur les points suivants lien outil de décryptage. Rappelez-vous que pour le décryptage, vous devrez éventuellement avoir un fichier original et son fichier crypté analogique, de sorte que vous pouvez déchiffrer tous vos fichiers ainsi.

Ventsislav Krastev

Ventsislav a couvert les derniers logiciels malveillants, développements logiciels et plus récent technologie à SensorsTechForum pour 3 années. Il a commencé comme un administrateur réseau. Ayant obtenu leur diplôme et marketing, Ventsislav a aussi la passion pour la découverte de nouveaux changements et les innovations en matière de cybersécurité qui deviennent changeurs de jeu. Après avoir étudié la gestion de la chaîne de valeur et d'administration réseau, il a trouvé sa passion dans les cybersecrurity et croit fermement à l'éducation de base de chaque utilisateur vers la sécurité en ligne.

Plus de messages - Site Internet

1 Commentaire

  1. Marcio Cassiano

    cher,
    Je voudrais savoir si le fichier déjà déchiffré contaminé par RUMBA, pour l'identification: ILVB810gCvHGkaDADuTbmq3dQsdSXyZT2bsuUicnV.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...