Rimozione RotorCrypt ransomware - Ripristinare .Black_OFFserve Files
MINACCIA RIMOZIONE

Rimozione RotorCrypt ransomware - Ripristinare .Black_OFFserve Files

RotorCrypt immagine ransomware

Nostro RotorCrypt guida rimozione ransomware mostra come gli utenti di computer in grado di ripristinare i propri computer dal virus pericoloso. Si altera impostazioni importanti sul sistema e può portare a ulteriori infezioni. Leggi il nostro articolo di approfondimento per saperne di più.

Sommario minaccia

NomeRotorCrypt
TipoRansomware, Cryptovirus
breve descrizioneIl ransomware RotorCrypt è un virus pericoloso che assegna .Black_OFFserve estensione ai file compromessi. il sistema della vittima viene anche modificato e malware supplementare può essere istituito in loro.
SintomiLe vittime noteranno che una gran parte dei propri dati sta per essere criptati con un potente algoritmo e rinominato con un'estensione modello. Essi possono anche verificarsi problemi di prestazioni significative, errore dell'applicazione e altri tipi di danni.
Metodo di distribuzioneEmail spam, Allegati e-mail
Detection Tool Vedere se il vostro sistema è stato interessato dalla RotorCrypt

Scarica

Strumento di rimozione malware

Esperienza utenteIscriviti alla nostra Forum per discutere RotorCrypt.
Strumento di recupero datiWindows Data Recovery da Stellar Phoenix Avviso! Questo prodotto esegue la scansione settori di unità per recuperare i file persi e non può recuperare 100% dei file crittografati, ma solo pochi di essi, a seconda della situazione e se non è stato riformattato l'unità.

RotorCrypt ransomware - modi di distribuzione

Il virus RotorCrypt è un esempio ben noto della famiglia ransomware che condivide lo stesso nome. Un nuovo campioni di virus è stato identificato che sembra essere una versione personalizzata di codice prima.

L'attuale ondata di RotorCrypt ransomware è principalmente distribuito utilizzando i metodi tradizionali. A seconda della campagna di attacchi i criminali possono scegliere di utilizzare messaggi e-mail di spam sfruttando differente ingegneria sociale trucchi. Gli hacker di solito usano i modelli che utilizzano la meccanica spread. I criminali dietro il virus RotorCrypt specificamente portando il .estensione Black_OFFserve ceppo può dipendere da diverse tattiche in sede di distribuzione dei messaggi di malware:

  • file allegati - I file dei virus possono essere collegati direttamente ai messaggi come allegati con nomi diversi. Le vittime possono essere costretti a aprirli mascherandosi da software utile o utilità. tattiche avanzate utilizzano archivi protetti da password che contengono i ceppi ransomware.
  • Collegamenti ipertestuali - I criminali possono incorporare link che portano ai file eseguibili ransomware Rotorcrypt. Di solito sono travestiti da link di reimpostazione della password, pagine di login, le finestre di dialogo di conferma o di altre parti correlate di servizi web più popolari.
  • I documenti infetti - I criminali possono utilizzare documenti di virus che può includere documenti di testo ricco, fogli di calcolo o presentazioni di interesse degli utenti. Una volta aperto le vittime vedrà un prompt di notifica. Si chiede loro di attivare le macro incorporate (script). Se questo è fatto l'infezione viene scaricato da una postazione remota e ha iniziato sulla macchina locale.

Un'altra tattica popolare per la diffusione del malware è la creazione di siti pirata a controllo. Essi possono rappresentare legittimi siti di download, i motori di ricerca o fornitori e tentativo di consegnare il file del virus. Una gran parte di loro in realtà contengono installatori software malware. Essi rappresentano file di installazione presi dai rivenditori ufficiali modificati. Gli operatori degli hacker dietro il virus .Black_OFFserve loro dirottare e includono la componente di malware. Il programma di installazione risultante viene poi caricato sul sito di hacker operati rilevanti.

I siti pirata a controllo possono anche essere trovati tramite dirottatore del browser casi. Gli utenti possono ottenere reindirizzato al via gli annunci, script e striscioni collocati su altri siti o attraverso un dirottatore del browser. Sono estensioni di malware realizzati per i browser più diffusi. Di solito la lista include le seguenti applicazioni: Mozilla Firefox, Google Chrome, Safari, Microsoft Edge, Opera e Internet Explorer. I loro modelli di comportamento standard sono per reindirizzare le vittime alla pagina di download di hacker controllate o direttamente fornire l'infezione automaticamente. Essi sono particolarmente pericolosi in quanto possono essere ulteriormente modificati per causare altre modifiche al sistema pure.

RotorCrypt ransomware - In-Depth Descrizione

Il ransomware RotorCrypt è stato avvistato in una nuova campagna attacco. Il nuovo ceppo utilizza il .estensione Black_OFFserve a differenziarsi da campioni precedenti. Come tutte le versioni aggiornate è una variante personalizzata del codice originale e come tale segue gli stessi schemi di comportamento.

Dopo l'infezione i campioni non immediatamente cominciano a modificare il sistema, ma ritardare l'esecuzione dei virus. Questo fa parte del malware famiglia protezione invisibile meccanismo. Ritarda l'infezione da virus sul scopi al fine di eludere qualsiasi scansione di firma e di comportamento che potrebbero essere in esecuzione. Un'altra strategia che può essere impiegata anche in grado di eseguire la scansione del sistema per qualsiasi software di sicurezza in esecuzione (prodotti anti-virus, ambienti sandbox ed eseguire il debug, così come macchine virtuali). Se trovato i loro motori in tempo reale possono essere disabilitati o completamente rimosso. A seconda della configurazione degli hacker il virus può cancellare se stesso per evitare il rilevamento.

Un fatto questo il malware motore stesso ganci per i processi di sistema e si nasconde nella cartella di sistema di Microsoft Windows come componente legittima. Gli esperti di sicurezza sono stati in grado di identificare diverse campagne di attacco prima che nascondono le loro tracce dal sistema stesso, nonché.

Se i campioni associati all'estensione .Black_OFFserve sono derivati ​​diretti possono sopprimere i messaggi di errore che sono il risultato della sua esecuzione. Il passo successivo nel modello di comportamento è il raccolta di informazioni dettagliate processo. Ha lo scopo di estrarre due tipi principali di dati che vengono inviati direttamente agli operatori degli hacker:

  • anonimo Metrics - Questo tipo di informazioni si riferisce alle informazioni di sistema che vengono raccolte a fini statistici dagli hacker. dati esempio include solitamente versione del sistema operativo e la data e l'ora delle infezioni.
  • I dati di identificazione personale - Il motore di malware in grado di estrarre informazioni che possono esporre direttamente l'identità degli utenti. Questo può includere i loro nomi, indirizzo, Preferenze, interessi e ecc.

i cambiamenti di sistema possono inoltre influire sulla Registro di Windows manipolando valori esistenti o crearne di nuovi. Questo passaggio può essere parte del stato persistente di esecuzione che si ottiene. Esso consente l'istanza di malware per bloccare automaticamente manuali tentativi di rimozione manuale monitorando costantemente il loro comportamento. Io posso anche interagire con il gestore dei volumi di Windows che consente al componente ransomware di incidere file che si trovano sui dispositivi di memorizzazione remoovable e condivisioni di rete disponibili e.

Tali infezioni possono essere raggruppati insieme codice Trojan che permette agli hacker per spiare le vittime in tempo reale, nonché assumere il controllo delle loro macchine in un dato momento.

Un ulteriore pericolo è il fatto che i campioni ransomware RotorCrypt possono recuperare tutti i file di dati prima della fase di crittografia. Ciò è particolarmente utile quando gli hacker tentano strategie ricatto sulle vittime.

Il componente del malware elimina anche tutti trovato copie shadow del volume il che rende più difficile per gli utenti di ripristinare i propri file. In questi casi una soluzione professionale di recupero di dati deve essere utilizzato pure.

RotorCrypt ransomware - Processo di crittografia

Una volta che tutte le infezioni hanno completano la componente ransomware è avviato. E 'in grado di crittografare i file degli utenti in base a un built-in lista di estensioni di file di destinazione.

Un elenco campione recuperato da versioni precedenti obiettivi i seguenti dati:

.1CD, .avi, .dietro, .bmp, .cf, .cfu, .csv, .db, .dbf, .djvu, .doc, .docx, .dt, .elfo, .EPF, .erf, .exe,
.flv, .Geo, .gif, .gr, .jpeg, .jpg, .LGF, .lgp, .ceppo, .mb, .CIS, .mdf, .MXL, .netto, .odt, .pdf, .png,
.pps, .ppt, .pptm, .pptx, .psd, .px, .rar, .crudo, .st, .sql, .tif, .txt, .vob, .VRP, .xls, .XLSB, .xlsx,
.xml, .chiusura

Un notevole oltre alle estensioni di file sono diverse estensioni che vengono utilizzati contro la contabilità e software per il business. E 'molto probabile che gli operatori criminali iniziano gli attacchi contro tali vittime.

A seconda della campagna esatto che le vittime possono ricevere diverse note ransomware. Essi sono spesso ottimizzato secondo gli utenti vittima. Un messaggio generico recuperato da uno dei campioni legge la seguente:

Buona giornata
I file sono stati crittografati / bloccati
Come prova può decifrare il file 1 a 3 1-30MB
Il prezzo delle trascrizioni di tutti i file sul server: 7 Bitcoin
Consiglia per risolvere in modo rapido e non il problema di ritardare
Anche dare consigli su come proteggere il server contro le minacce provenienti dalla rete
(I file di backup di SQL mdf decrittazione rigorosamente dopo il pagamento)!

L'attuale campagna attiva assegna la seguente estensione ai file vittima: !== SOLUZIONE DEL [email protected]==.Black_OFFserve.

Precedente Rotorcrypt attacchi ransomware sono stati trovati per caratterizzare questi schemi ridenominazione:

Rimuovere RotorCrypt ransomware e ripristino dei file .Black_OFFserve

Se il computer è stato infettato con il RotorCrypt virus ransomware, si dovrebbe avere un po 'di esperienza nella rimozione di malware. Si dovrebbe sbarazzarsi di questo ransomware il più presto possibile prima di poter avere la possibilità di diffondere ulteriormente e infettare altri computer. È necessario rimuovere il ransomware e seguire la guida istruzioni passo-passo di seguito.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi - Sito web

Seguimi:
CinguettioGoogle Plus

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...