.encryptedRSA file Virus (Sam Sam) - Come rimuovere + Ripristino dei dati
MINACCIA RIMOZIONE

.encryptedRSA file Virus (Sam Sam) - Come rimuovere + Ripristino dei dati

Questo articolo è stato creato al fine di spiegare ciò che è SamSam ransomwares’ultima variante, come funziona e come rimuoverlo più ripristinare i file con il suffisso del file .encryptedRSA aggiunto a loro.

SamSam ransomware è stato aggiornato ancora una volta, questa volta con una nuova funzione che permette di essere attivato manualmente dopo aver infettato un computer. Il SamSam ransomware infezione è anche il tipo di malware che ha lo scopo di crittografare i file sul server e computer e poi estorcere le vittime del virus a pagare un riscatto per ottenere teir backup, basi di dati e documenti di lavorare di nuovo. Se l'organizzazione o il computer sono stati infettati dal .encryptedRSA serie di SamSam virus ransomware, si consiglia di leggere questo articolo per saperne di più su questa iterazione di Sam Sam e quali opzioni dovete ripristinare i file dopo aver rimosso il malware.

Sommario minaccia

Nome.encryptedRSA ransomware
TipoRansomware, Cryptovirus
breve descrizioneNuova variante di ransomware SamSam. Cripta i file sul computer della vittima dopo aver infettato e li tiene in ostaggio fino a quando le vittime pagare il riscatto.
SintomiI file vengono criptati con RSA modalità di crittografia e l'estensione .encryptedRSA è aggiunto a loro.
Metodo di distribuzioneEmail spam, Allegati e-mail, I file eseguibili
Detection Tool Vedere se il vostro sistema è stato interessato dalla .encryptedRSA ransomware

Scarica

Strumento di rimozione malware

Esperienza utenteIscriviti alla nostra Forum per discutere .encryptedRSA ransomware.
Strumento di recupero datiWindows Data Recovery da Stellar Phoenix Avviso! Questo prodotto esegue la scansione settori di unità per recuperare i file persi e non può recuperare 100% dei file crittografati, ma solo pochi di essi, a seconda della situazione e se non è stato riformattato l'unità.

SamSam ransomware – Propagazione

tipico per SamSam ransomware è quello di diffondere su entrambi i computer privati, nonché le imprese. Ciò significa che il virus ransomware può infettare i server mirate e computer di reti di organizzazioni e anche sistemi privati ​​attraverso una vasta gamma di metodi di infezioni. Se la .encryptedRSA variante di SamSam ha infettato un'organizzazione, è molto probabile che i ladri potrebbero aver inviato e-mail all'organizzazione che contengono il file infezione, mascherato come allegato e-mail. Questo richiede un po 'di ricognizione a che fare, dal momento che i truffatori possono inviare le e-mail da un indirizzo falso che può imitare un dipendente effettivo dell'organizzazione, aumentando la credibilità del messaggio e l'allegato. Gli attacchi possono essere tutti i tipi di documenti, come:

  • Rapporti.
  • dichiarazioni.
  • Fatture.
  • attività di sicurezza.
  • Lettera di dimissioni.
  • Altri documenti costituiti.

Ma in realtà, i file dannosi di questa infezione strisciano inosservato a causa di diversi tipi di software offuscamento, volti a nasconderli da qualsiasi software di protezione e kit di exploit che sfruttano bug senza patch nelle reti.

In aggiunta a questo, questa iterazione di SamSam ransomware può anche nascondersi dietro un programma apparentemente legittimi, caricato il sito ombreggiato, che potrebbe fingere di essere messe a punto, software portatile, o attivatori di licenza di qualche tipo (crepe, cerotti, eccetera).

Ma i più grandi attacchi di SamSam generato un sacco di fuzz media, nonché. Il malware stesso riferito, fatta su $850,000 solo per una settimana e dopo che il virus infetta e paralizzato Atlanta Città, l'ammount del riscatto era $51,000 - il malware piuttosto grave.

Finora, gli attacchi contro le strutture del governo degli Stati Uniti a cui SamSam ransomware propagate e tenuto in ostaggio sono stati reoported essere:

  • Dipartimento dei trasporti (Colorado)
  • L'Ospedale Kentucky.
  • Valley State University of Mississipi.
  • Adams Memorial Hospital in Indiana.
  • Farmington Comune, Nuovo Messico.
  • Allscrips E.H.R. fornitore.
  • Unknown società Indistrial negli Stati Uniti.

E il ransomware può colpire ovunque, in qualsiasi momento.

SamSam .encryptedRSA Variante - Analisi di attività

Secondo tecnica analisi eseguito da Ravikant Tiwari, il .encryptedRSA SamSam ransomware variante esegue serie di note, ma anche nuove attività rispetto alla sua varianti più anziani e dispone di una crittografia dei file più forte.

I due file di infezione principali del malware sono riportati da Tiwari essere:

  • Loader del malware.
  • Il file ransomware effettivo di .encryptedRSA SamSam.

Il file ransomware primario di Sam Sam è stato segnalato per portare il .Stubb estensione del file. L'estensione del file non è un file riconosciuto e il suo scopo principale è quello di essere eliminato inosservato come malware. Così abbiamo una nuova e unica modalità di infezione e offuscamento nello stesso tempo, perché il suffisso del file non familiare significa anche che è probabile che la maggior parte degli schermi di evitare di protezione antivirus tradizionale protezione in tempo reale.

Ma la parte più interessante di questo è che il ransomware può infettare un computer, ma quando questo accade, Sam Sam Non è attivato e attende con pazienza che gli hacker dietro il malware per attivarlo. Questo perché il .Stubb file è il ransomware reale in una forma criptata, più specificamente cifrato tramite l'algoritmo di crittografia AES, che lo rende un po 'una “bestia in gabbia”. Una volta che l'attore minaccia decifra il file crittografato AES .stubbin, il ransomware chiama una funzione del carico, che carica un file di .NET con un parametro ricevuto. Questo è fondamentalmente l'hacker, decifrare il .file di Stubb e quindi l'esecuzione sul computer infetto attraverso un tipo di file di LOTTI (la password). E ciò che è peggio è che secondo i ricercatori, Questa password viene digitato manualmente dagli hacker per innescare il ransomware. Una volta lì, si inizia a svolgere la sua attività malevoli tra i quali è quello di visualizzare il file Nota di riscatto, che appare come il seguente:

Nella richiesta di riscatto, il virus vuole vittime a visitare la loro pagina web TOR-based, dove le vittime possono rivolgersi i cyber-criminali e negoziare il loro pagamento.

.encryptedRSA SamSam Virus – Analisi di crittografia

Prima di avviare il processo di crittografia, la variante SamSam .encryptedRSA controlla accuratamente lo spazio disponibile sulla macchina sarà cifrare. Poi, inizia il processo di crittografia dei file tramite la scansione dalla seguente lista di pre-serie di estensioni di file da crittografare:

→ “.jin”, “.xls”, “.xlsx”, “.pdf”, “.doc”, “.docx”, “.ppt”, “.pptx”, “.ceppo”, “.txt”, “.gif”, “.png”, “.conf”, “.dati”, “.che”, “.dwg”, “.aspide”, “.aspx”, “.html”, “.htm”, “.php”, “.jpg”, “.jsp”, “.js”, “.CNF”, “.cs”, “.vb”, “.vbs”, “.CIS”, “.mdf”, “.dietro”, “.BKF”, “.Giava”, “.vaso”, “.era”, “.pem”, “.pfx”, “.rtf”, “.PST (ora standard del Pacifico”, “.dbx”, “.mp3”, “.mp4”, “.mpg”, “.am”, “.nvram”, “.vmdk”, “.VMSD”, “.vmx”, “.vmxf”, “.vmsn”, “.vmem”, “.gz”, “.3dm”, “.3ds”, “.chiusura”, “.rar”, “.3fr”, “.3g2”, “.3gp”, “.3pr”, “.7da”, “.AB4”, “.ACCDB”, “.ACCD”, “.accdr”, “.accdt”, “.ach”, “.acr”, “.atto”, “.adb”, “.Annunci”, “.AGDL”, “.ai”, “.facente”, “.al”, “.APJ”, “.ARW”, “.asf”, “.asm”, “.ASX”, “.avi”, “.awg”, “.indietro”, “.di riserva”, “.BackupDB”, “.PBL”, “.banca”, “.baia”, “.vg”, “.BGT”, “.bik”, “.BKP”, “.miscela”, “.DPW”, “.c”, “.cdf”, “.taxi”, “.chm”, “.cdr”, “.CDR3”, “.CDR4”, “.cdr5”, “.cdr6”, “.CDRW”, “.CDX”, “.CE1”, “.CE2”, “.cielo”, “.cfp”, “.CGM”, “.tasca”, “.classe”, “.cls”, “.CMT”, “.cpi”, “.cpp”, “.CR2”, “.craw”, “.crt”, “.CRW”, “.csh”, “.CSL”, “.csv”, “.Dacian”, “.db”, “.DB3”, “.dbf”, “.db-journal”, “.dc2”, “.dcr”, “.dcs”, “.ddd”, “.bacino”, “.NRW”, “.DDS”, “.il”, “.di”, “.design”, “.DGC”, “.djvu”, “.DNG”, “.puntino”, “.docm”, “.dotm”, “.dotx”, “.DRF”, “.DRW”, “.dtd”, “.DXB”, “.dxf”, “.jse”, “.DXG”, “.eml”, “.eps”, “.erbsql”, “.erf”, “.exf”, “.FDB”, “.EF”, “.fff”, “.A nome di”, “.FMB”, “.FHD”, “.fla”, “.flac”, “.flv”, “.FPX”, “.FXG”, “.grigio”, “.grigio”, “.gioco”, “.h”, “.hbk”, “.hpp”, “.iBank”, “.IBD”, “.FLR”, “.idx”, “.iif”, “.IIQ”, “.tubo”, “.incpas”, “.INDD”, “.JPE”, “.jpeg”, “.KC2”, “.kdbx”, “.KDC”, “.chiave”, “.kpdx”, “.prendere”, “.m”, “.m4v”, “.max”, “.mdc”, “.mef”, “.MFW”, “.MMW”, “.MoneyWell”, “.mos”, “.mov”, “.MRW”, “.msg”, “.mondo”, “.ND”, “.ndd”, “.navata”, “.NK2”, “.nop”, “.nrw”, “.ns2”, “.NS3”, “.NS4”, “.NSD”, “.NSF”, “.NSG”, “.NSH”, “.nwb”, “.NX2”, “.NXL”, “.NYF”, “.OAB”, “.obj”, “.ODB”, “.Ep”, “.odf”, “.risposta”, “.odm”, “.Rispondere”, “.paragrafo”, “.odt”, “.olio”, “.orf”, “.ost”, “.OTG”, “.OTH”, “.OTP”, “.ots”, “.ci”, “.p12”, “.p7b”, “.P7C”, “.aiutare”, “.pagine”, “.non”, “.colpetto”, “.PCD”, “.PCT”, “.pdb”, “.PDD”, “.pef”, “.pl”, “.plc”, “.pentola”, “.sentieri”, “.potx”, “.PPAM”, “.pps”, “.PPSM”, “.PPSX”, “.pptm”, “.prf”, “.ps”, “.psafe3”, “.psd”, “.pspimage”, “.PTX”, “.py”, “.supremo”, “.QBB”, “.QBM”, “.Qbr”, “.QBW”, “.QBX”, “.QBY”, “.R3D”, “.raf”, “.ratto”, “.crudo”, “.rdb”, “.rm”, “.RW2”, “.RWL”, “.RWZ”, “.s3db”, “.sas7bdat”, “.dire”, “.sd0”, “.sda”, “.senza casa”, “.sldm”, “.sldx”, “.sql”, “.sqlite”, “.sqlite3”, “.sqlitedb”, “.SR2”, “.SRF”, “.srt”, “.SRW”, “.ST4”, “.ST5”, “.ST6”, “.ST7”, “.ST8”, “.std”, “.sti”, “.STW”, “.STX”, “.svg”, “.swf”, “.sxc”, “.SXD”, “.SXG”, “.lei”, “.lei”, “.SXM”, “.SXW”, “.tex”, “.tga”, “.thm”, “.pc”, “.vob”, “.portafoglio”, “.wav”, “.WB2”, “.wmv”, “.WPD”, “.wps”, “.X11”, “.X3F”, “.film”, “.XLA”, “.xlam”, “.XLK”, “.XLM”, “.xlr”, “.XLSB”, “.xlsm”, “.XLT”, “.XLTM”, “.xltx”, “.XLW”, “.YCbCr”, “.yuv”

Il processo di crittografia consiste nel leggere il file in segmenti di 10240 byte e cifrare il contenuto del file, dopo di che copiare la versione criptata del file in un file nuovo e rinominato, contenente il .encryptedRSA estensione del file. I file originali vengono cancellati e file crittografati copiati appaiono come il seguente:

Ciò che è interessante è che la versione più recente di SamSam non dimentica di criptare i file di backup, nonché.

Rimuovere SamSam ransomware e ripristino dei file .encryptedRSA

Al fine di rimuovere questa infezione ransomware completamente dal vostro sistema informatico, si consiglia di seguire le istruzioni di rimozione sotto questo articolo. Essi sono stati creati al fine di aiutare a rimuovere manualmente o automaticamente questa minaccia dal computer. Se la rimozione manuale non sembra funzionare, è consigliato a Remvoe questa infezione automaticamente utilizzando un software avanzato anti-malware. Tale strumento cancellerà completamente ogni traccia di SamSam dal computer e protegge contro eventuali infezioni che potrebbero verificarsi in futuro pure.

In aggiunta a questo, se si desidera ripristinare i file che sono stati crittografati con la .encryptedRSA estensione del file da SamSam, si può provare a utilizzare i metodi alternativi per il recupero di file sotto al passo "2. ripristinare i file, crittografato .encryptedRSA ransomware” sotto. Hanno lo scopo di aiutare a recuperare tutti i file crittografati possibile, anche se non sono 100% garanzia di essere in grado di recuperare tutti i dati.

Avatar

Ventsislav Krastev

Ventsislav è stato che copre l'ultimo di malware, software e più recente tecnologia sviluppi a SensorsTechForum per 3 anni. Ha iniziato come un amministratore di rete. Avendo Marketing laureato pure, Ventsislav ha anche la passione per la scoperta di nuovi turni e le innovazioni nella sicurezza informatica che diventano cambiavalute gioco. Dopo aver studiato Gestione Value Chain e quindi di amministrazione di rete, ha trovato la sua passione dentro cybersecrurity ed è un forte sostenitore della formazione di base di ogni utente verso la sicurezza online.

Altri messaggi - Sito web

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...