TeamXrat Virus (Xpanda) - Retirer et fichiers xratteamLucked de Décrypter - Comment, Forum sur la sécurité PC et la technologie | SensorsTechForum.com
Suppression des menaces

TeamXrat Virus (Xpanda) - Retirer et fichiers xratteamLucked de Décrypter

stf-xpan-ransomware-teamxrat-XRAT-brazillian-virus rançon note

Un nouveau virus ransomware se propage par le Remote Desktop Protocol (RDP) trouvé sur de nombreux systèmes informatiques. Son vrai nom est Xpan, mais de nombreuses victimes et certains chercheurs se réfèrent à lui comme TeamXRat ransomware. Le nom TeamXRat provient des cybercriminels qui ont développé le ransomware et ont laissé leur nom dans la note de rançon que la signature. L'extension .___ xratteamLucked est ajouté aux fichiers qui obtiennent crypté.

Le ransomware provient du Brésil, mais les résidents d'autres pays peuvent être infectés aussi bien. Pour supprimer le virus et voir comment vous pouvez décrypter vos fichiers, lire attentivement cet article.

Menace Résumé

NomTeamXrat
TypeRansomware, Cryptovirus
brève descriptionLe ransomware distribue en exploitant les mots de passe faibles dans le Remote Desktop Protocol (RDP). De là est charge le cheval de Troie Xpan et infecte les fichiers sur un PC compromis.
SymptômesLe virus ajoute le .___ l'extension xratteamLucked aux fichiers, dont il encrypte.
Méthode de distributionLes attaques ciblées, Remote Desktop Protocol (RDP)
Detection Tool Voir Si votre système a été affecté par TeamXrat

Télécharger

Malware Removal Tool

Expérience utilisateurRejoignez notre Forum pour discuter TeamXrat.

TeamXRat Virus - Infection

La TeamXRat virus est unique dans la façon dont il infecte par rapport à d'autres virus ransomware. Il utilise des attaques ciblées, par brutе forçant des serveurs via le Remote Desktop Protocol (RDP). Le système d'exploitation Windows a une Connexion Bureau à distance mis en œuvre et il peut être activé par défaut. D'autres systèmes d'exploitation ont aussi un programme équivalent exécutant le même protocole, ce qui le rend viable pour une attaque de hacker. Une fois un mot de passe faible est fissuré avec la méthode brute-forcer, elle est immédiatement exploitée. La Xpanda ransomware Trojan est installé après que les pirates mis manuellement le logiciel anti-virus trouvé sur le serveur, ils sont entrés.

Cependant, il n'a pas été exclu de la TeamXRat virus à se propager à d'autres égards. Certains de ces moyens comprennent des campagnes de spam e-mail malveillant ou à l'aide de réseaux tels que les médias sociaux ou les services de partage de fichiers. Sur il un fichier malveillant contenant la charge utile du malware pourrait être placé. Si vous interagissez avec lui, en particulier lors de son exécution, votre machine informatique entier se crypté. Avant d'ouvrir les fichiers d'origine inconnue, effectuer des contrôles sur eux pour leurs signatures, Taille, et aussi de les numériser avec un outil de sécurité. Tu devrais voir plus de conseils pour la prévention des ransomware dans notre discussion sur le forum.

TeamXRat Virus - Information

La Xpanda virus Trojan est ce que beaucoup de gens ont surnommé TeamXRat. Qui est en grande partie due au fait que cette signature a eu ransomware TeamXRat dans sa note de rançon et sur le papier peint, il établit après le chiffrement de fichiers. Le ransomware est développé par les criminels brésiliens s'identifiant comme TeamXRat ou CorporacaoXRat (CorporationXRat). Bien que le virus provient du Brésil et la plupart des ordinateurs compromis sont au Brésil, les gens d'autres pays ont également été victimes de cette cyber menace.

Les cybercriminels TeamXRat ont développé d'autres ransomware avant, qui est connu sous le nom XRAT ransomware (Xorist). Ils ont amélioré leur nouveau ransomware avec un algorithme de chiffrement plus fort.

Les utilisations ransomware crée la sous-clé suivante dans le Registre Windows:

→HKEY_CLASSES_ROOT .____ xratteamLucked

Après que les entrées de registre suivantes sont créées dans la sous-clé mentionné ci-dessus:

→HKEY_CLASSES_ROOT .____ xratteamLucked ”Défaut” = “crypté!!”

HKEY_CLASSES_ROOT\.____xratteamLucked\DefaultIcon\”Défaut” = “%SystemDrive%\System32\shell32.dll,47”

HKEY_CLASSES_ROOT\.____xratteamLucked\shell\open\command\”Défaut” = “[DOS SCRIPT]”

Des entrées de registre ci-dessus, un script sera lancé à partir d'un fichier .DLL. En plus de tout cela, les processus suivants (marqué par .exe) et les services seront arrêtés par le ransomware:

  • fb_inet_server.exe
  • pg_ctl.exe
  • sqlservr.exe
  • postgresql-9.0
  • FirebirdServerDefaultInstance
  • SSQL $ SQLEXPRESS
  • MSSQLSERVER

À la fin, le fichier suivant les instructions de paiement est créé:

→[CHEMIN DE FICHIERS CRYPTEES]\Comment déchiffrer votre arquivos.txt

Le fichier est écrit en portugais et ressemble bresilien comme celui-ci:

STF-xpan-ransomware-teamxrat-XRAT-brazillian-virus-Ransom-message-instructions

Un autre changement que vous remarquerez peut-être que votre fond d'écran sera changé avec cette image:

stf-xpan-ransomware-teamxrat-XRAT-brazillian-virus rançon note

Ils écrivent sur l'algorithme de chiffrement qui est utilisé, exiger un Bitcoin pour le paiement et la addess e-mail xRatTeam@mail2tor.com est donné pour vous de prendre contact avec les cyber-escrocs.

Ne pensez même pas de payer les fabricants de logiciels malveillants comme personne ne peut garantir que vous obtiendrez vos fichiers après paiement réussie. L'argent sera indéniablement être utilisé pour soutenir financièrement d'autres activités criminelles, comme le développement d'un nouveau ransomware ou pire encore.

Tous les fichiers cryptés auront l'extension .___xratteamLucked ou .____xratteamLucked annexés à celles. Le ransomware utilise un 255 mot de passe de caractère et la RSA de 2048 bits algorithme de chiffrement avec 256 bits chiffrements AES pour chiffrer les fichiers. Habituellement, nous répertorions les types de fichiers, qui sont cryptées par un tel cryptovirus, mais cette fois-ci, vous pouvez voir les types de fichiers qui ne sont pas cryptées, parce qu'ils sont ajoutés dans une liste d'exceptions:

→.LNK .dll .exe .bat .ini .msi .scf

Voici une liste complète contenant tous les chemins de fichiers qui sont exclus du chiffrement:

Chemin du fichier Cordes Exlusions Liste

→.___xratteamLucked
.____xratteamLucked
\DVD Maker
\Microsoft Games\
\MSBuild\
\Reference Assemblies\
\Windows Defender\
\Windows Journal\
\Windows Mail\
\Windows Media Player\
\Windows NT\
\Windows Photo Viewer\
\Windows Sidebar\
\Common Files\
\Microsoft.NET\
\PerfLogs\
\$Recycle.Bin\
\Données de programme
pagefile.sys
\Données d'application
NTUSER.DAT
\Données de programme
NTUSER.DAT
Données d'application
\winrar\
\firebird\
\Internet Explorer\
\java\
\TeamViewer\
\windows\
\Fenêtres
\Common Files\
\ESET\
\AVG\
\AVIRA\
\AVAST Software\
\intel\
\FileZilla
\Cobian Backup
\K-Lite Codec Pack\
\Microsoft SDKs\
\Microsoft Silverlight\
\Microsoft SQL Server Compact Edition\
\Microsoft Visual Studio\
\Notepad++\
Atheros
Realtek
xratteam.log

La TeamXRat ransomware est très susceptible de supprimer la Des copies de volume de l'ombre se trouve sur votre système d'exploitation Windows. Après le chiffrement du ransomware supprime certains des fichiers qu'il est originaire de, y compris le fichier de charge utile. Continuer la lecture et en bas, vous verrez comment supprimer complètement le virus et ce que vous pouvez essayer de décrypter vos fichiers.

Supprimer le virus TeamXRat et restauration .___ xratteamLucked fichiers

Si votre ordinateur a été infecté avec le TeamXRat ransomware Cryptovirus, vous devriez avoir une certaine expérience dans l'élimination des logiciels malveillants. Vous devez vous débarrasser de cette ransomware aussi vite que possible avant qu'il puisse avoir la chance de se propager plus loin et infecter d'autres ordinateurs. Vous devez retirer le ransomware et suivez les instructions étape par étape manuelle donnée ci-dessous. Découvrez les différentes manières dont vous pouvez essayer de récupérer vos fichiers en voyant l'étape intitulée 2. Restaurer les fichiers cryptés par TeamXRat ou attendre pour voir s'il y a un décrypteur officiel publié.

avatar

Berta Bilbao

Berta est un chercheur dédié logiciels malveillants, rêver pour un cyber espace plus sûr. Sa fascination pour la sécurité informatique a commencé il y a quelques années, quand un malware lui en lock-out de son propre ordinateur.

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...