Coraz większa liczba użytkowników systemu Windows odkrywa, że rozszeżenie ich osobistych plików zmieniło się tak po prostu na .micro. Jest to tylko jeden z wielu objawów ataku oprogramowania ransomware z nowej edycji TeslaCrypt 3.0, czyli krypto wirusa, który blokuje dane oraz wymusza pieniądze w zamian za odszyfrowanie. Najnowsze 3 generacji zagrożenie sprawia, że ofiary znajdują się w kłopotliwej sytuacji, a jedynym skutecznym sposobem, aby odzyskać pliki to uiszczenie opłaty.
TeslaCrypt jest znany już od prawie roku. Zaczęło się od dość niezwykłego trojana, który ukierunkowuje dane dotyczące gier komputerowych wraz ze zwykłymi plikami osobistymi. Obserwowani przez naśladowcę Alpha Crypt zaraz po pojawieniu się wirusa, infekcja w końcu kontynuuje swoją szkodliwą krucjatę pod początkową nazwą i posiada kilka aktualizacji, które chce od tej pory wdrażać. Każda nowa iteracja będzie zawierać szereg poprawek, które zostały znalezione przez zapory bezpieczeństwa, ale najnowsza wersja okazała się najbardziej zaawansowaną wersją. Badacze wcześniej opracowali narzędzie do odzyskiwania o nazwie TeslaDecoder, które było w stanie odszyfrować pozycje, które posiadają następujące rozszerzenia dołączone do nich na zainfekowanych komputerach: .ecc, .exx, .ezz, .xyz, .zzz, .aaa, .abc, .ccc i .vvv. Świeży obiekt dodaje do trojana .micro ciągi plików, i niestety, nie można go zwalczyć w ten sposób.
.mikro rozszerzenia plików
Specyfika, która umożliwiła odtworzenie, wcześniej była kluczem obchodzenia wady pominiętym przez oszustów. Ponieważ ransomware używa standardu AES do przeprowadzenia szyfrowania, publiczny i prywatny klucz jest taki sam. Jeden z plików przechowujący klucz (key.dat lub storage.bin) został zatrzymany na zainfekowanym komputerze, co umożliwia wyżej wymienionemu narzędziu znaleźć szczegóły wymagane do odszyfrowania informacji. W przypadku dodania wariantu .micro, .ttt lub .xxx rozszerzeń wymiana klucza przepływu została zmieniona tak, że ta technika nie jest już wydajna. Klucz nie znajduje się już na komputerze – zamiast tego zostanie wysłany do bezpiecznego serwera kontrolowanego przez cyberprzestępców.
Ten trojan okupu komunikuje się z ofiarą przez wyświetlenie swojego głównego panelu aplikacji, zmieniając tapety i zrzucając na pulpit kilka plików z instrukcją. W szczególności, użytkownik może otworzyć jeden z tych trzech dokumentów, aby uzyskać dalsze wskazówki: Howto_Restore_FILES.TXT, Howto_Restore_FILES.BMP lub Howto_Restore_FILES.HTM. Według tych uwag, użytkownik powinien przejść do swojej ‚osobistej strony głównej’, klikając na jeden z kilku dostępnych linków, w tym bramkę Tor.
Howto_Restore_FILES.HTM
Na stronie zatytułowanej ‘Decryption Service’,’Obsługa Rozszyfrowania’ znajdują się informacje o wysokości okupu, który aktualnie ustawiony jest na około 500 USD dolarów i wymienione są pozostałe kroki, aby wysłać pieniądze w Bitcoins, by odzyskać prywatny klucz i reanimować dane. Przyznać można, że przestępcy wykonują dobrą robotę w zacieraniu śladów. Uciekają się do serwisu Onion Router w celu anonimowych interakcji z zainfekowanymi ludźmi, i otrzymują oni płatności wyłącznie w kryptowalucie w celu uniknięcia stalkingu, a tym samym omijają problemy z egzekwowaniem prawa.
Na pierwszy rzut oka wydaje się, że następujące wymagania oszustów są jedynym sposobem na odzyskanie dostępu do .micro plików. Dekoder nie pomoże, a wykup może być zbyt drogi. A jednak, odzyskiwanie informacji w tym przypadku nie idzie zgodnie z życzeniem – użytkownicy mogą spróbować metod opierając się na specjalnym oprogramowaniu i rodzimych cechach systemu operacyjnego.
Eksterminacja ransomware TeslaCrypt może być skutecznie zrealizowana dzięki niezawodnemu oprogramowaniu zabezpieczającemu. Zastosowanie techniki automatycznego czyszczenia zapewnia, że wszystkie zainfekowane komponenty zostaną dokładnie usunięte z systemu.
Obejście 1: Wykorzystanie oprogramowania do odzyskiwania plików
Ważne jest, aby wiedzieć, że trojan TeslaCrypt 3.0 tworzy kopie plików i szyfruje je. W międzyczasie, oryginalne pliki zostają usunięte. Istnieją aplikacje, które obecnie mogą odzyskać usunięte dane. Do tego celu możesz skorzystać z narzędzi, takich jak Data Recovery Pro. Najnowszą wersję ransomware można zastosować do bezpiecznego usuwania z kilkoma zastąpieniami, ale w każdym razie warto wypróbować tą metodę.
Obejście 2: Skorzystaj z kopii zapasowych
Przede wszystkim, jest to świetny sposób na odzyskanie plików. Można to wykorzystać, jeśli zostały zrobione kopie zapasowe danych przechowywanych na komputerze. Jeśli tak, to skorzystaj ze swojej przezorności.
Obejście 3: Użyj kopii Shadow Volume Copies
Jeśli nie wiedziałeś, system operacyjny tworzy kopie tzw Shadow Volume Copies każdego pliku dopóki System Restore, Przywracanie Systemu jest włączone na komputerze. Punkty przywracania są tworzone w określonych odstępach czasu, migawki plików, które pojawiają się w tej chwili są również generowane. Należy pamiętać, że ta metoda nie zapewnia przywrócenia najnowszych wersji twoich plików. Na pewno warto jest ją wypróbować. Ten obieg można wykonać na dwa sposoby: ręcznie oraz przez zastosowanie automatycznego rozwiązania. Spójrzmy na proces ręczny.
Właściwości dla losowych plików posiada zakładka Poprzednie Wersje. To tu zapisane są poprzednie wersję i są one wyświetlane, stąd mogą być odzyskane. Dlatego kliknij prawym przyciskiem myszy na plik, idź do Właściwości, wybierz wymienioną powyżej zakładkę i wybierz Kopiuj lub opcję Otwórz, w zależności od lokalizacji, w której chcesz je odzyskać
Powyższy proces może być zautomatyzowany narzędziem nazwanym ShadowExplorer. Właściwie dokonuje tej samej rzeczy (odzyskanie Kopii Rozmiaru Cienia), ale w bardziej przystępny sposób. Dlatego pobierz i zainstaluj aplikację, odpal ją oraz przeglądaj pliki i foldery, których poprzednie wersje chciałbyś odzyskać. By wykonać to zadanie, kliknij prawym przyciskiem na jakikolwiek wpis i wybierz opcję Export
Jeszcze raz, samo usuwanie ransomware rozszerzenia pliku .micro nie prowadzi do deszyfrowania plików osobistych. Metody przywracania danych przedstawione powyżej, mogą być skuteczne lub też nie, ale sam ransomware nie znajduje się wewnątrz komputera. Nawiasem mówiąc, to oprogramowanie często pojawia się z innym złośliwym oprogramowaniem, dlatego należy wielokrotnie zeskanować system z automatycznym oprogramowaniem zabezpieczającym w celu upewnienia się, że żadne szkodliwe pozostałości tego wirusa i związane z nim zagrożenia nie pozostały w rejestrze systemu Windows i innych miejscach.
Pobierz oprogramowanie do skanowania i usuwania wirusa pliku .micro
fajnie ,że podajecie możliwe programy mogące uporać się z tym uciązliwym wirusem. szkoda tylko ze wszystkie są płatne !!!