Rimuovere Troldesh ransomware e ripristinare i file crittografati .Better_call_saul - Come, Tecnologia e Security Forum PC | SensorsTechForum.com
MINACCIA RIMOZIONE

Rimuovere Troldesh ransomware e ripristinare i file crittografati .Better_call_saul

1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessuna valutazione)
Loading ...

attenzione-ransomware-troldesh sensore Tech forum criptatoIl famigerato famiglia Troldesh di virus ransomware ha appena aumentato con una nuova variante. La nuova variante cripto-ransomware crittografa i file degli utenti aggiungendo una estensione .Better_call_saul dopo di loro. È stato riferito dai ricercatori Nyxbone di utilizzare una potente crittografia cifratura AES-256. Il ransomware è anche segnalato per cambiare la carta da parati con una richiesta di riscatto scritta in entrambe le lingue russo e inglese, nonché. Gli utenti che sono stati colpiti da questo virus - encoder, dovrebbe rimuovere immediatamente, invece di pagare il riscatto e provare a ripristinare i file utilizzando una delle soluzioni alternative a questo articolo.

NOTA A MARGINE: Questo post è stato originariamente pubblicato nel mese di giugno 2016. Ma abbiamo dato un aggiornamento nel mese di agosto 2019.

Sommario minaccia

NomeTroldesh
TipoRansomware
breve descrizioneIl ransomware cripta i file con estensione .better_call_saul e chiede un pagamento di un riscatto $150 per la decrittazione.
SintomiIl ransomware cripta tutti i file, cambia la carta da parati per una versione russa e inglese dello stesso messaggio e aggiunge una nota README.txt.
Metodo di distribuzioneEmail spam, Exploit Kit
Detection Tool Vedere se il vostro sistema è stato interessato dalla Troldesh

Scarica

Strumento di rimozione malware

Esperienza utenteIscriviti alla nostra Forum due Discutere Troldesh.

Troldesh Ransomware — Update August 2019

The Troldesh ransomware has been detected in an ongoing attack wave in August 2019. The criminals that are behind the attacks are using hacked or specially made sites in order to deliver the infection. When the victims click on them they will automatically launch the dropper script which in turn will lead to the ransomware infection.

According to the available security reports the trigger will be a JScript file which will proceed with the infection — in the moment primarily Windows computers are targeted.

The file name of the script is written in the Russian language and it appears that the attackers are attempting to spoof an airline company message. Various contents can be inserted and manipulate the users into opening them. When this is done the ransomware will be automatically downloaded from a remote host and executed on a local host.

A randomly-named directory name will be created and the ransomware will be placed there. Following the intrusion the typical Troldesh ransomware attack sequence will begin.

Troldesh ransomware - Come Infect

Un metodo Troldesh può utilizzare per infettare con successo gli utenti avviene tramite URL dannosi. Tali collegamenti web possono reindirizzare alle pagine web che contengono JavaScript maligno o un exploit kit. Tali collegamenti web possono essere visti in varie posizioni da parte degli utenti finali, per esempio:

  • Su commenti spam in sezioni di commento su diversi siti.
  • Segnalato come una risposta o un argomento in un forum non così ben protetto.
  • pop-up automaticamente sul computer come un risultato di avere un PUP (Potenzialmente indesiderati Programma) installato nel computer.
  • Redirect a seguito di clic su un annuncio dannoso (malvertising)

Un altro metodo di distribuzione che può essere utilizzato da Troldesh è diffondendo direttamente l'exe del malware. Perché ciò avvenga, offuscamento processo si crede di essere utilizzato su l'eseguibile di nasconderlo dal reale scudo tempo di qualsiasi antivirus che può essere installato per le definizioni più recenti sul computer victim`s. Tali file di solito possono essere diffuse tramite:

  • Malintenzionati e-mail come allegati, che di solito sono in archivi .zip o .rar.
  • Pose come correzioni, cerotti, keygen, crepe e altri.
  • Fingere di essere una messa a punto di un software legittimo su un sito web di terze parti.

Finora, una cosa può essere certi. I ricercatori hanno riferito che questa variante del Troldesh utilizza i seguenti ospiti a condurre campagne di spam di massa:

→ 155.94.254.7
220.116.246.88
73.69.54.155
59.16.141.51
46.241.162.75
181229176179
181.46.183.183
91.250.53.114
69.23.139.144
105.131.75.227
188.0.72.57
176.223.169.98
121.136.241.45
1.64.242.80
76.9.38.194
73.205.91.110
203.175.48.196
1.239.96.173 Fonte: Nyxbone(@mosh)

E questa non è l'unica cattiva notizia su come questo si diffonde ransomware. Gli esperti ritengono di avere qualcosa in comune con una botnet molto pericoloso, chiamato Kelihos che è noto per l'invio di campagne di phishing.(https://sensorstechforum.com/kelihos-botnet-phishing-campaign-collects-apple-ids-spam-emails/)

Troldesh ransomware - attività dannose

Il ransomware scende i seguenti file dopo l'infezione:

  • schet1074.15.03.16.doc – 1.1 MB
  • CSRSS.exe – 1.8 MB
  • 025074de.exe – 114.3 KB
  • E8B6CE19.exe – 1.0 MB

Fonte: Nyxbone(@mosh)

Dopo aver lasciato il suo carico, il ransomware modifica le voci di registro di computer infetti per modificare le impostazioni differenti:

→ HKCU Software Microsoft Windows CurrentVersion Run Client Server Runtime Subsystem
HKCU Software Classes VirtualStore MACHINE SOFTWARE System32 Configuration cnt
HKCU Software Classes VirtualStore MACHINE SOFTWARE System32 Configuration i
HKCU Software Classes VirtualStore MACHINE SOFTWARE System32 Configuration modo
HKCU Software Classes VirtualStore MACHINE SOFTWARE System32 Configuration pk
HKCU Software Classes VirtualStore MACHINE SOFTWARE System32 Configuration Stato
HKCU Software Classes VirtualStore MACHINE SOFTWARE System32 Configuration SYS
HKCU Software Classes VirtualStore MACHINE SOFTWARE System32 Configuration Version Fonte: Nyxbone(@mosh)

Il ransomware crea anche file aggiuntivi nel computer infetto in luoghi diversi:

→ C:\ProgramData Windows csrss.exe
C:\Users {NOME UTENTE}\AppData Local Temp E8B6CE19.exe –
C:\Users {NOME UTENTE}\AppData Local Temp 025074DE.exe –
C:\Users {NOME UTENTE}\AppData Local Temp Stato
C:\Users {NOME UTENTE}\AppData Local Temp bloccaggio
C:\Users {NOME UTENTE}\AppData Roaming 77E4183577E41835.bmp
C:\Users {NOME UTENTE}\\Desktop README1.txt
C:\Users {NOME UTENTE}\Desktop README2.txt
C:\Users {NOME UTENTE}\Desktop README3.txt
C:\Users {NOME UTENTE}\\Desktop README4.txt
C:\Users {NOME UTENTE}\Desktop README5.txt
C:\Users {NOME UTENTE}\Desktop README6.txt
C:\Users {NOME UTENTE}\Desktop README7.txt
C:\Users {NOME UTENTE}\Desktop README8.txt
C:\Users {NOME UTENTE}\Desktop README9.txt
C:\Users {NOME UTENTE}\Desktop README10.txt
C:\Utenti Pubblica Desktop README1.txt
C:\Utenti Pubblica Desktop README2.txt
C:\Utenti Pubblica Desktop README3.txt
C:\Utenti Pubblica Desktop README4.txt
C:\Utenti Pubblica Desktop README5.txt
C:\Utenti Pubblica Desktop README6.txt
C:\Utenti Pubblica Desktop README7.txt
C:\Utenti Pubblica Desktop README8.txt
C:\Utenti Pubblica Desktop README9.txt
C:\Utenti Pubblica Desktop README10.txtSource: Nyxbone(@mosh)

dopo aver fatto, e allora, il ransomware esegue un comando chiamata al suo encryptor. La sua ha riferito di eseguire la scansione e crittografare i seguenti tipi di file:

→ WB2, cdr, SRW, p7b, odm, mdf, P7C, 3fr, il, ODB, ARW, RWL, cielo, XLK, PDD, RW2, crt, dx, R3D, pem, baia, PTX, pfx, INDD, nrw, p12, bd, di riserva, torrente, Storia, PWM, al sicuro, xl, xls, xlsx, xlsm, XLSB, XLTM, XLT, xlam, XLA, CIS, rtf, txt, xml, csv, pdf, prn, DIF, ch, paragrafo, xltx, XLM, Ep, XLW, uxdc, pm, UDL, DSN, IQY, DQY, rqy, oqy, cucciolo, dietro, XSN, XSF, XTP, xtp2, ACCDB, adb, adp, mda, accda, MDE, ACCD, accdw, accdt, accdc, mdw, dbf, linguetta, asc, frm, optare, mondo, venduto, db, onetoc2, uno, onepkg, VCS, ics, PST (ora standard del Pacifico, spesso, msg, pptx, ppt, pptm, pps, PPSM, pentola, potx, sentieri, Rispondere, thmx, WPD, wps, ppa, PPAM, wmf, fem, pub, ps, xps, VSD, VDX, VSS, VSX, vst, VTX, VSW, vdw, emz, dwg, dxf, docx, doc, docm, dotx, puntino, dotm, djvu, chm, htm, html, saluti, MHTML, shtml, shtm, aspide, aspx, dwt, stm, cs, css, psd, PDD, 3ds, max, CRW, navata, raf, orf, MRW, dcr, mos, pef, SRF, DNG, X3F, CR2, erf, SR2, KDC, MFW, mef, gin, sdpx, dpx, Fido, dae, DCM, DC3, dic, eps, kmz, se e solo se, tdi, EXR, PCX, pdp, PXR, sct, U3D, obj, ai3, ai4, ai5, ai6, ai7, ai8, ai, EPSP, epsf, hdr, Rgbe, xyze, grazie, PBM, pgm, ppm, PNM, PFM, pam, PCT, pict, PSB, FXG, swf, HTA, htc, ssi, come, asr, xsl, XSD, dtd, XSLT, rss, rdf, LBI, come, ascx, asmx, config, cfm, CFML, cfc, tld, PHTML, jsp, WML, tpl, laccio, JSF, vb, vbs, VTM, vtml, EDML, crudo, jpg, jpeg, JPE, bmp, png, tif, bisticcio, seguente, gif, svg, SVGZ, rle, tga, vda, ICB, WBM, WBMP, JPF, jpx, JP2, J2K, J2C, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, che, Anim, m4a, qt, 3g2, F4V, mkidx, MKA, avs, vdr, flv, am, mp3, wav, ASX, pls, chiusura, 7da, rar, prende, gz, bz2, Wim, xz, c, h, hpp, cpp, php, php3, php4, PHP5, py, pl, SLN, js, JSON, inc, sql, Giava, classe, questo, asm, clx, TBB, TBI, tbk, PST (ora standard del Pacifico, dbx, cbf, criptato, tubo, eml, FLD, VBM, VBK, VIB, vhd, 1CD, dt, cf, cfu, MXL, EPF, VRP, gr, Geo, elfo, LGF, lgp, ceppo, st, whew, MFT, EFD, md, dmp, FDB, LST, fbkSource: Nyxbone(@mosh)

Dopo aver fatto questo, i file vengono criptati con un algoritmo di crittografia AES-256. I file cifrato sono di solito con l'.better_call_saul, per esempio:

File originale:
Nuovo testo Document.txt
Encrypted File:
{ RANDOM ALPHA NUMERICA ID }-io-{RANDOM ALPHA NUMERICA ID}=.{ RANDOM ALPHA NUMERICA ID }.better_call_saul

Questo ransomware, poi cambia lo sfondo del computer infetto alla seguente immagine:

Forum sensore tecnologia Wallpaper Troldesh-Ransomwware

Il ransomware può anche comunicare con gli aggressori di inviare loro la chiave di decrittazione insieme ad altre informazioni di sistema. Gli indirizzi IP segnalati di aggressori sono segnalati dagli esperti Nyxbone essere il seguente:

→ 86.59.21.38
208.83.223.34
37.59.46.159
158.58.170.2
188.165.26.13
104.25.11.6
72.246.48.8 Fonte: Nyxbone(@mosh)

In aggiunta a tutti coloro, dopo la crittografia dei file, il ransomware aggiunge multipla “README.txt” i file con i numeri di sequenza, per esempio “README1.txt” ,”README2.txt” ,”README3.txt” ,”README4.txt” sul desktop delle cartelle utente o crittografati. Il testo del readme è in russo e in inglese. La versione inglese della nota di riscatto è il seguente:

“Tutti i file importanti sul computer sono stati criptati.
Per decifrare i file è necessario inviare il seguente codice:
{codice unico} per e-mail post77999@gmail.com addess o post7799@yahoo.com.
Poi riceverai tutte instrucions necessarie.
Tutti i tentativi di decrittazione da soli si tradurrà solo in perdita irrevocabile dei dati.
Se si vuole ancora provare a decifrare loro da soli si prega di fare un backup in un primo momento, perché la decrittografia diventerà impossibile in caso di eventuali cambiamenti all'interno dei file.
Se non hai ricevuto la risposta dal email succitato per più di 48 orario (e solo in questo caso!), usare l'e-mail di riserva. Si può ottenere in due modi:
1) Scarica Tor Browser da qui:
{web link tor}
Installarlo e digitare il seguente indirizzo nella barra degli indirizzi:
{dominio cipolla}
Premere Invio e poi la pagina con le email di riserva verrà caricato.
2) Vai uno dei seguenti indirizzi in qualsiasi browser:
{domini di cipolla con .per e le estensioni cab}”

Troldesh ransomware – Conclusione, Rimozione e file del restauro

La linea di fondo è che questa variante della famiglia Troldesh è un po 'più sofisticato del la .xtbl e .cripta varianti Troldesh).

Se si vuole rimuovere Troldesh ransomware, si possono seguire le istruzioni per la rimozione manuale di sotto o scaricare un programma anti-malware avanzato. Si farà in modo che il computer sia libero da qualsiasi oggetti modificati da Troldesh ransomware e proteggere l'utente da questo tipo di minacce in futuro pure.

Nel caso in cui si desidera ripristinare i file, si consiglia di provare ad usare Kaspersky`s Rannoh Decryptor che è stato segnalato per decifrare con successo .crypt file crittografati da la variante Troldesh CryptXXX. Altrimenti, si possono trovare altri, alternative meno efficaci dal punto "3. Ripristinare i file crittografati da Troldesh " sotto.

Avatar

Ventsislav Krastev

Ventsislav è stato che copre l'ultimo di malware, software e più recente tecnologia sviluppi a SensorsTechForum per 3 anni. Ha iniziato come un amministratore di rete. Avendo Marketing laureato pure, Ventsislav ha anche la passione per la scoperta di nuovi turni e le innovazioni nella sicurezza informatica che diventano cambiavalute gioco. Dopo aver studiato Gestione Value Chain e quindi di amministrazione di rete, ha trovato la sua passione dentro cybersecrurity ed è un forte sostenitore della formazione di base di ogni utente verso la sicurezza online.

Altri messaggi - Sito web

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...