วิธีการลบ BUYUNLOCKCODE Ransomware [สำเนา]

5

คำถามนี้มีคำตอบอยู่ที่นี่แล้ว:

ดูเหมือนแรนซัมแวร์จะมีการหมุนเวียนในช่วงไม่กี่สัปดาห์ที่ผ่านมา มันเข้ารหัสไฟล์ข้อมูลและสร้างโน้ตไถ่ BUYUNLOCKCODE.txt ในไดเรกทอรีทั้งหมดที่ไฟล์นั้นถูกเข้ารหัส

ไฟล์ buyunlockcode.txt นี้มีคำแนะนำและอีเมลที่คุณต้องติดต่อเพื่อรับคำแนะนำในการชำระเงิน ที่อยู่อีเมลที่รู้จักคือ nick.jameson@expressmail.dk และ ChiuKhan@tom.com ถึงแม้ว่าที่อยู่อีเมลเหล่านี้จะมีการเปลี่ยนแปลงตลอดเวลา ในเวลานี้จำนวนเงินค่าไถ่ไม่เป็นที่รู้จัก

ข้อความของ BUYUNLOCKCODE.txt คือ:

สวัสดี ID ของคุณ = JSOXXXXXXXX

ไฟล์สำคัญทั้งหมดถูกเข้ารหัสด้วยอัลกอริทึมการเข้ารหัส RSA-1024      มีวิธีเดียวที่จะคืนค่าได้ - ซื้อรหัสปลดล็อคที่ไม่ซ้ำกัน

คำเตือน! ความพยายามในการกู้คืนไฟล์ที่ไม่มี "โปรแกรมพิเศษ" ของเราจะทำให้ข้อมูลเสียหายหรือสูญเสียข้อมูลทั้งหมด      เมื่อเราได้รับการชำระเงินเราจะส่งโปรแกรมพิเศษและรหัสเฉพาะของคุณเพื่อปลดล็อคระบบของคุณ

รับประกัน: คุณสามารถส่งไฟล์ที่เข้ารหัสหนึ่งทางอีเมลและเราถอดรหัสได้ฟรีเป็นข้อพิสูจน์ความสามารถของเรา

ไม่มีเหตุผลที่จะติดต่อตำรวจ การชำระเงินของคุณจะต้องทำกับ e-wallet เป็นไปไม่ได้ที่จะติดตาม      อย่าเสียเวลากับเรา

ดังนั้นหากคุณพร้อมที่จะจ่ายสำหรับการกู้คืนไฟล์โปรดตอบกลับอีเมลนี้ ChiuKhan@tom.com

จากนั้นเราจะส่งคำแนะนำการชำระเงิน

ใครบ้างมีความคิดวิธีแก้ปัญหานี้หรือไม่

encryption  malware  ransomware 
hsawires
แหล่งที่มา
2
หากไฟล์ของคุณถูกเข้ารหัสอยู่แล้วคุณจะไม่มีตัวเลือกใด ๆ ยกเว้นการชำระเงิน หากคุณมีการสำรองข้อมูลออฟไลน์ของไฟล์ซึ่งเป็นหนึ่งในตัวเลือกเดียวของคุณ
Ramhound
2
ในทุกกรณีที่ฉันได้ดูผู้ส่งค่าไถ่ได้ดำเนินชีวิตตามสัญญาของพวกเขาและส่งทุกอย่างที่จำเป็นเพื่อยกเลิกการเข้ารหัส แก๊งเหล่านี้ส่วนใหญ่ใช้รูปแบบเหล่านี้จริง ๆ เช่นธุรกิจและเป็นที่ต้องการที่จะได้รับความเคารพจากเพื่อนร่วมงานของพวกเขา กลุ่มที่ทำสิ่งนี้และทำให้ผู้คนพากันวิ่งหนีออกจากที่เกิดเหตุได้อย่างรวดเร็วจริง ๆ มันมีจรรยาบรรณที่ดีในหมู่พวกเขาทั้งหมดแม้ว่าสิ่งที่พวกเขาทำจะเป็นสิ่งที่เลวร้ายมาก
shawty
3
@hsawires - คุณเป็นกังวลเกี่ยวกับไคลเอ็นต์ลับๆเมื่อคุณติดเชื้อแล้ว ข้อความที่พวกเขาแสดงนั้นค่อนข้างบอกว่าคุณติดไวรัสแล้วซึ่งเป็นแบ็คดอร์ไปยังระบบของคุณ (เนื่องจากพวกเขามีความสามารถในการส่งเพย์โหลดเพิ่มเติม) ในขณะที่ความกังวลของคุณว่าการส่งเงินให้พวกเขานั้นมีเหตุผลหากคุณไม่มีข้อมูลสำรองของไฟล์เหล่านั้นและการสูญเสียทางการเงินของไฟล์เหล่านั้นยิ่งใหญ่กว่าสิ่งที่พวกเขาขอมาคุณก็ไม่มีทางเลือกอื่น
Ramhound
1
นำเครื่องออกจากเครือข่าย จ่ายหรือไม่ - ความเสี่ยงนั้นขึ้นอยู่กับคุณ จากนั้นคิดว่าคุณติดเชื้ออย่างไรและเรียนรู้จากความผิดพลาด (ถ้าคุณรู้) ไม่ว่าจะด้วยวิธีใดก็ตามให้ nuke เครื่องซึ่งหมายถึงการติดตั้งใหม่ทั้งหมดและตามที่ Ramound แนะนำให้รับไฟล์ของคุณจากการสำรองข้อมูล จำไว้ว่าแม้ว่าคุณจะเอาไวรัสออกไปคุณก็ไม่รู้ว่าไวรัสทำอะไร - ใช่คุณรู้ว่าไฟล์ที่เข้ารหัส แต่คุณไม่รู้ว่ามันทำอะไรอย่างอื่นอยู่! ดังนั้นทำไมการติดตั้งใหม่จึงมีความสำคัญ
Dave
2
@hsawires - หากบัญชีของคุณไม่ใช่ผู้ดูแลระบบและคุณเปิดใช้งาน ShadowCopy อาจเป็นไปได้ที่จะกู้คืนไฟล์ของคุณไฟล์ที่เข้ารหัสโดยมัลแวร์ที่คล้ายกัน Cryptowall สามารถกู้คืนได้โดยใช้คุณสมบัตินั้น มันคุ้มค่าที่จะลอง.
Ramhound

คำตอบ:

3

คำถามของคุณคือ

How to remove BUYUNLOCKCODE Ransomware

คำตอบ: ใช้โปรแกรมป้องกันไวรัส

อย่างไรก็ตามโพสต์ของคุณมีคำถามอื่น ๆ คุณไม่มีความคิดในสิ่งที่ไวรัสทำกับเครื่องของคุณ เพียงเพราะคุณสามารถเห็นไฟล์ที่ถูกเข้ารหัสไม่ได้หมายความว่ามันไม่ได้ทำอะไรอย่างอื่นที่คุณไม่ได้รับรู้อยู่ในปัจจุบัน

หากไฟล์ถูกเข้ารหัสคุณ ลาด ให้พวกเขากลับมา (ฉันใช้คำว่าไม่คับฉันควรจะพูดอย่างไม่น่าเป็นไปได้สูง นี่คือเหตุผลที่คุณจะต้องจ่ายค่าคีย์ แต่มีข้อสงสัยว่าคุณจะได้รับรหัสแม้ว่าคุณจะชำระเงินก็ตาม อย่างไรก็ตามมันเป็น มักจะ ในความสนใจของพวกเขาที่จะคืนค่าไฟล์ที่ทำให้ผู้โจมตีมีชื่อเสียงที่น่าเชื่อถือ (แดกดัน) ว่าพวกเขายังคงเป็นจริงกับคำของพวกเขา

ไม่ว่าหลังจากที่คุณได้รับไฟล์กลับมาหรือไม่คุณจะต้องล้างเครื่องและฟอร์แมตใหม่ทั้งหมด จากนั้นเรียกคืนไฟล์จากการสำรองข้อมูล (หรืออย่างน้อยจากนี้ไปมีการสำรองข้อมูลเสมอ)

ฉันควรชี้ให้เห็นว่าเมื่อติดเชื้อสิ่งนี้สิ่งสำคัญคือการลบเครื่องออกจากเครือข่ายเนื่องจากไวรัสประเภทนี้มักแพร่กระจายได้ง่าย

Dave
แหล่งที่มา
เหมือนที่ฉันรู้ ไม่ใช่สิ่งที่เราเรียกว่า "ไวรัส" ตามที่ทราบ มันเป็นกิจวัตรปาร์ตี้ที่ชอบโดยใช้เบราว์เซอร์เพื่อรันซอฟต์แวร์เข้ารหัสในระบบเพื่อเข้ารหัสเอกสารที่เปิดอยู่ แต่คำตอบของคุณไม่ช่วย "ลบ" คำตอบของคุณคือช่วยยอมรับความเสียหาย :) และดูเหมือนจะเป็นวิธีเดียว
hsawires
2
คุณไม่สามารถเข้ารหัสไฟล์ผ่านเบราว์เซอร์ (เท่าที่ฉันรู้) ก่อนอื่นมันเป็นไปไม่ได้ที่จะใช้สิ่งต่าง ๆ เช่น JavaScript (HTML5 ให้การอัปโหลดไฟล์ แต่การอัปโหลดเท่านั้น) ฉันเดาว่ามันสามารถทำได้โดยใช้ช่องโหว่ใน Flash หรือ Java แต่สิ่งที่คุณอธิบายไว้ควรจะกระตุ้น AV ... แม้ว่าอาจเป็นเพราะบางสิ่งบางอย่างในเบราว์เซอร์เช่นปลั๊กอินนี่เป็นไวรัส IMO มัลแวร์ (ซอฟต์แวร์ที่เป็นอันตราย)) ฉันขอโทษไม่มีข่าวดีสำหรับคุณ :(
Dave
ขอบคุณ Mr. @Dave ... เป็นไปได้ไหมที่จะเขียนกระบวนการป้องกันและกำจัดมัลแวร์ประเภทนี้? แน่นอนว่ามีข้อควรระวังก่อนการติดเชื้อและการดำเนินการบางอย่างหลังจากการติดเชื้อ อย่างน้อยก็เพื่อหยุดการลุกลามของไฟป่า ขอบคุณล่วงหน้า.
hsawires
2
@hsawires - วิธีที่ดีที่สุดในการป้องกันการติดเชื้อประเภทนี้คือการหยุดการเชื่อมต่อจากโดเมนที่รู้กันว่าให้บริการซอฟต์แวร์ที่เป็นอันตราย ซอฟต์แวร์ความปลอดภัยปัจจุบันของคุณไม่ได้ทำเช่นนั้น
Ramhound
2
Ransomware ที่เป็นปัญหานั้นจริง ๆ แล้วคือโทรจันเขียนเป็น C และจากนั้นบรรจุไฟล์โดยใช้แพ็คเก็ตไฟล์ UPX เป็นสองเท่า เพย์โหลดจะถูกส่งโดยการต่อท้ายไฟล์ gif ที่ส่วนหัวถูกบังคับให้แคชภาพ จากนั้นผู้ใช้หน้าจะถูกหลอกให้ดำเนินการหนู (โทรจันการเข้าถึงระยะไกล) ซึ่งมองในแคช (ที่ได้รับจากการดมกลิ่นเบราว์เซอร์ UA) แยกรหัสที่บรรจุจากปลาย gif และดำเนินการ ณ จุดนี้ มันจบแล้วเพราะตอนนี้คุณมีแพลตฟอร์มที่สามารถใช้งานได้อีกครั้งดังนั้นทำไมฉันจึงแนะนำให้นำไฟล์ไปไว้ในพีซีที่สะอาด
shawty
3

มันไม่ใช่ข่าวดีที่ฉันกลัว แต่อาจมีบางสิ่งที่คุณสามารถทำได้เพื่อช่วย

สิ่งแรกที่คุณต้องทำคือให้ระบบปฏิบัติการที่ติดไวรัสออฟไลน์

มีโอกาสดีมากที่การเข้ารหัสไฟล์ผู้กระทำผิดได้ติดตั้งซอฟต์แวร์บางอย่างซึ่งจะโหลดลงในระบบปฏิบัติการของคุณเมื่อบูตเครื่องซอฟต์แวร์นี้มักจะถูกตั้งค่าให้ดูไฟล์ที่เข้ารหัสดังนั้นหาก พวกเขาดัดแปลงด้วยสามารถดำเนินการที่เหมาะสม

สิ่งที่คุณต้องการคือพีซี windows ที่สะอาดซึ่งบู๊ตโดยไม่มีการติดไวรัสจากนั้นคุณสามารถนำฮาร์ดไดรฟ์จากพีซีที่ติดเชื้อแล้วติดตั้งลงในพีซีที่สะอาดนี้

คุณต้องทำให้แน่ใจอย่างแน่นอนว่าคุณไม่ได้รันอะไรบนฮาร์ดไดรฟ์ที่ติดไวรัสและสิ่งนี้หมายถึงสิ่งต่าง ๆ เช่นเอกสารคำหน้า html ไฟล์จาวาสคริปต์รวมถึงไฟล์ที่ชัดเจนเช่นไฟล์ EXE

คัดลอกไฟล์ที่คุณต้องการกู้คืน (ไม่ต้องกังวลกับไฟล์ระบบปฏิบัติการ / windows หรือไฟล์โปรแกรมคุณจะทำการติดตั้งใหม่ในภายหลัง) แม้ว่าไฟล์นั้นจะถูกเข้ารหัสคุณอาจมีโอกาสค้นพบกุญแจเข้ารหัส .

เมื่อคุณคัดลอกไฟล์ที่คุณต้องการลองและกู้คืนแล้วให้ถอดฮาร์ดไดรฟ์ที่ติดไวรัสออกเพื่อไม่ให้เกิดอุบัติเหตุในการติดไวรัสลงบนพีซีที่สะอาด

จากจุดนั้นเป็นต้นไปหากไฟล์ที่คุณกู้คืนไม่ได้เข้ารหัสดีเยี่ยมสำรองข้อมูลไว้อย่างปลอดภัยและล้างฮาร์ดไดรฟ์ที่ติดไวรัสให้ติดตั้ง windows และแอพของคุณใหม่แล้วคัดลอกไฟล์ที่กู้คืนกลับมา

หากไฟล์ที่คุณกู้คืนมีการเข้ารหัสคุณจะต้องหาวิธีการทำงานอย่างถูกต้องว่าคุณจะสามารถเลิกทำการเข้ารหัสได้อย่างไร

สิ่งสำคัญที่นี่คือการนำไฟล์ไปไว้ในคอมพิวเตอร์ที่สะอาดในขณะที่มันไม่ใช่วิธีการแก้ปัญหาที่สมบูรณ์มันควรทำให้คุณอยู่ในตำแหน่งที่คุณสามารถตรวจสอบและพยายามยกเลิกการเข้ารหัสโดยไม่ต้องกลัวว่าระบบปฏิบัติการของคุณจะหายไป .

เมื่อคุณมีไฟล์ของคุณบนพีซีที่สะอาดแล้วก็อาจเป็นกรณีของการค้นหาโปรแกรมที่ถอดรหัสไฟล์ที่เข้ารหัสด้วย RSA-1024 และลองใช้รหัสที่แตกต่างกันจนกว่าจะพบว่าใช้ได้

หากคุณมีทักษะการเขียนโปรแกรม windows ได้สร้างระบบปฏิบัติการในกรอบงาน. NET ซึ่งสามารถถอดรหัสข้อมูล RSA ในรูปแบบต่าง ๆ ได้คุณอาจจะสามารถเขียนโปรแกรมขนาดเล็กที่ต้องใช้รหัสที่แตกต่างกัน

นอกจากนี้ยังจะช่วยถ้าคุณรู้ว่ารูปแบบของ "รหัส" มันเป็นเพียงตัวเลขตรงหรือไม่มันเป็นสตริงของตัวเลขและตัวอักษรถ้าคุณรู้ว่ามันเป็นตัวเลข 6 หลักเสมอคุณต้องลองใช้ชุดค่าผสมตั้งแต่ 000000 ถึง 999999 แน่นอนว่ามันจะใช้เวลานาน แต่ถ้าไฟล์ของคุณมีความสำคัญ

โปรดจำไว้ว่าแก๊งอาชญากรเหล่านี้หลายคนเป็นผู้ใช้มัลแวร์และไม่ใช่ผู้สร้างดังนั้นหลายคนจึงเป็นเพียงแค่ "Business Minded" ที่ต้องการหาเงินซึ่งหมายความว่าจะต้องพึ่งพาสิ่งที่มัลแวร์ทำ แต่โดยทั่วไปแล้ว จะไม่อยู่ในฐานะที่จะทำสิ่งใดเป็นพิเศษ

ซึ่งหมายความว่าหากคุณสามารถปิดระบบได้อย่างน้อยที่สุดคุณก็สามารถกำจัดความสามารถในการควบคุมสถานการณ์เพิ่มเติมและเมื่อคุณทำเช่นนั้นแล้วโดยทั่วไปคุณสามารถลบความสามารถในการฆ่าทุกสิ่งบนพีซีได้หากคุณไม่จ่ายเงิน

หากคุณชำระเงินและรับรหัสและแอพเพื่อลบโพสต์ไว้ที่อื่นเพื่อใช้งานฉันเคยได้ยินมาสองสามกรณีที่รหัสเดียวกันจะปลดล็อคการติดเชื้อหลายอันเนื่องจากวิธีการทำงานของซอฟต์แวร์ดังนั้น มีรหัสและตัวปลดล็อคมากกว่านี้ที่เราผลักดันให้เป็นโดเมนสาธารณะเพื่อให้ผู้อื่นลองได้ยากขึ้นเราจะทำให้คนเหล่านี้ถือสุ่ม

โดยสรุปก่อนที่คุณจะพยายามทำสิ่งใดก็ตามให้นำไฟล์ของคุณไปไว้ในพีซีแบบคลีนแล้วคุณจะสามารถเริ่มเดินหน้าต่อได้

เพื่อความรู้ที่ดีที่สุดของฉันในปัจจุบันมี ไม่มีการแก้ไขสากล เพื่อย้อนกลับมัลแวร์นี้มีเครื่องมือในการลบการติดเชื้อ แต่เครื่องมือเหล่านี้ยังคงปล่อยให้ผู้ใช้มีไฟล์เข้ารหัส

shawty
แหล่งที่มา
7
โปรดอย่าบอกฉันว่าคุณกำลังพยายามแนะนำว่าการพยายามใส่ข้อความรหัสผ่านที่ไม่ทราบความยาวนั้นเป็นไปได้จริงหรือไม่ คำตอบนี้ส่วนใหญ่ไม่ถูกต้องทางเทคนิคตัวอย่างเช่นความสามารถในการถอดรหัสแอปพลิเคชั่น. NET เพื่อถอดรหัสการเข้ารหัส RSA คุณต้องระบุรหัสผ่าน / คีย์
Ramhound
จริง ๆ แล้วใช่ฉันเป็นอะไรผิดปกติกับการพยายามที่จะดุร้าย? ไม่มีไรเลย. อาจใช้เวลานาน แต่แอปพลิเคชันเช่น john the ripper ที่ทำงานบน GPU ที่เหมาะสมสามารถทำงานได้ทุกที่ตั้งแต่ไม่กี่ร้อยจนถึงไม่กี่พันครั้งต่อวินาทีฉันรู้เพราะฉันลองแล้วและมีอะไรมากกว่านี้ มีความสำเร็จ จำกัด เช่นกันไม่ใช่ในกรณีนี้ แต่แน่นอนว่ามีปัญหาไฟล์เข้ารหัสที่คล้ายกัน ถ้าอย่างนั้นเรามาดูความคิดเห็นของคุณเกี่ยวกับแอปพลิเคชั่น. NET ที่ไม่สามารถทำการถอดรหัส RSA ได้ ขอโทษที่พูดแบบนี้ แต่คุณเป็นคนผิด (ต่อ)
shawty
3
RSA เสียไปหลายปีแล้ว มีอัลกอริทึมที่ปรับให้เหมาะสมและการกำหนดค่าฮาร์ดแวร์พิเศษที่ใช้เพื่อเพิ่มความเร็ว ด้วยการใช้เครื่องจักรหลายเครื่องคุณสามารถสร้างตารางสายรุ้งในลักษณะของการแตก L0pht เพื่อเร่งความเร็วสิ่งต่างๆ
Stevetech
3
อ่านนี่ security.stackexchange.com/questions/47497/... RSA ถูกทำลายหลายครั้ง มันไม่สำคัญ แต่ก็สามารถทำได้
Stevetech
1
เท่าที่ฉันเห็นไม่มีความไม่ถูกต้องในโพสต์ของฉันสิ่งเดียวที่ดูเหมือนแพร่หลายที่นี่คือความจริงที่ว่าคุณไม่เห็นด้วยกับสิ่งที่ฉันพูด ไม่มีมันอยู่ในรูปร่างหรือรูปแบบที่ไม่ถูกต้องทางเทคนิค ไม่ใช่ความชอบของคุณฉันเห็นด้วยและอย่างที่ฉันรู้ดีว่าทุกคนจะมีคนที่ไม่เห็นด้วยกับมุมมองของฉันในสิ่งต่าง ๆ เพราะฉันเป็นคนประเภทที่มีความสุขที่จะออกไปบนกิ่งไม้ อาจใช้งานได้ แต่ไม่มีทางเทคนิคและถ้าคุณไม่สามารถชี้ให้ฉันดูบทความทางเทคนิคจากแหล่งที่เชื่อถือได้ซึ่งระบุไว้เป็นอย่างอื่น
shawty
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.