ОСТАНОВИТЬ программы-вымогатели

ОСТАНОВИТЬ программы-вымогатели Описание

Тип: Ransomware

СТОП Скриншот программы-вымогателя 21 февраля 2018 г. исследователи безопасности ПК получили сообщения об атаках программ-вымогателей с использованием угрозы, известной как STOP Ransomware. Программа STOP Ransomware основана на платформе программ-вымогателей с открытым исходным кодом и выполняет типичную версию атаки программ-вымогателей с шифрованием. STOP Ransomware распространяется с использованием спам-сообщений электронной почты, содержащих поврежденные файловые вложения. Эти прикрепленные файлы имеют форму файлов DOCX со встроенными макросценариями, которые загружают и устанавливают STOP Ransomware на компьютер жертвы. Научиться распознавать фишинговые электронные письма и избегать загрузки любых полученных нежелательных файловых вложений - один из способов избежать этих атак.

Как распознать STOP Ransomware-инфекцию

После того, как программа-вымогатель STOP установлена на компьютер жертвы, программа-вымогатель STOP будет искать на ее дисках самые разные типы файлов, обычно ища созданные пользователем файлы, такие как изображения, мультимедийные файлы и многие другие типы документов. Похоже, что программа-вымогатель STOP также предназначена для целевых веб-серверов, поскольку она ищет файлы базы данных и аналогичные типы файлов, обычно явно содержащиеся на этих машинах. Типы файлов, которые STOP Ransomware будет искать и нацеливать на свою атаку, включают:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm,. pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

На этой неделе в вредоносном ПО, эпизод 10: STOP и Zorab Ransomware эксплуатируют жертв с помощью поддельного дешифратора

STOP Ransomware использует надежный алгоритм шифрования, чтобы сделать каждый файл жертвы недоступным. Атака STOP Ransomware добавит расширение файла «.SUSPENDED» к файлам, которые он зашифровывает, чтобы пометить затронутые файлы.

Записка о выкупе программы-вымогателя STOP

Программа-вымогатель STOP требует уплаты выкупа, доставив записку о выкупе на компьютер жертвы. Эта записка о выкупе отображается в текстовом файле, перетаскиваемом на рабочий стол жертвы. Файл с именем '!!! YourDataRestore !!!. Txt, 'содержит сообщение:

«Все ваши важные файлы были зашифрованы на этом компьютере.
Все файлы с расширением .STOP зашифрованы. Шифрование производилось с использованием уникального закрытого ключа RSA-1024, сгенерированного для этого компьютера.
Чтобы расшифровать ваши файлы, вам необходимо получить закрытый ключ + программное обеспечение для расшифровки.
Чтобы получить закрытый ключ и расшифровать программное обеспечение, вам необходимо связаться с нами по электронной почте stopfilesrestore@bitmessage.ch, отправить нам по электронной почте свой файл !!! YourDataRestore !!! .txt и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы - вы можете прислать нам 1-3 любых не очень больших зашифрованных файла и отправить вам обратно в исходном виде БЕСПЛАТНО.
Цена на расшифровку 600 долларов при обращении к нам в первые 72 часа.
Ваш личный идентификатор:
[СЛУЧАЙНЫЕ СИМВОЛЫ]
Адрес электронной почты для связи с нами:
stopfilesrestoret@bitmessage.ch
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
stopfilesrestore@india.com '

Люди, ответственные за STOP Ransomware, требуют выкуп в размере 600 долларов США, который должен быть выплачен с использованием биткойнов на определенный адрес биткойн-кошелька в течение 72 часов. Однако обращение к этим людям или оплата выкупа STOP Ransomware может быть не лучшим решением.

Защита ваших данных от программ-вымогателей STOP и других троянских программ-вымогателей

Лучшая защита от STOP Ransomware и других троянских программ-вымогателей - это резервные копии файлов. Пользователи компьютеров, у которых есть резервные копии своих файлов, могут легко восстановить эти файлы после атаки, не прибегая к уплате выкупа. Рекомендуемая программа безопасности также может предотвратить установку STOP Ransomware.

Обновление от 6 декабря 2018 г. - «helphadow@india.com» Ransomware

Программа-вымогатель «helphadow@india.com» классифицируется как сравнительно небольшое обновление кода, имеющего марку STOP Ransomware. Авторы угроз, похоже, не уделили достаточно времени доработке нового варианта, так как у него низкий коэффициент заражения. Вымогательское ПО «helphadow@india.com» было быстро обнаружено поставщиками антивирусных программ, а оповещения отправлялись через основные социальные платформы и отчеты о кибербезопасности. К сожалению, возможности бесплатной расшифровки пока нет. Пользователи обычно скомпрометированы из-за поврежденного документа, полученного по электронной почте. Известно, что угроза стирает моментальные снимки теневого тома, созданные Windows, и прикрепляет расширение .shadow к зашифрованным объектам. Например, «C12-H22-O11.pptx» переименовывается в «C12-H22-O11.pptx.shadow», а на рабочем столе появляется записка с требованием выкупа «! Readme.txt». Программа-вымогатель helphadow@india.com может показать зараженным пользователям следующее сообщение:

'ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии мы вам даем?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации
Не пытайтесь использовать сторонние инструменты дешифрования, потому что они уничтожат ваши файлы.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа.
Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
helphadow@india.com
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
helphadow@firemail.cc
Ваш личный идентификатор:
[случайные символы] '

Приведенный выше текст используется вариантами, выпущенными раньше, чем вымогатель «helphadow@india.com», и единственное изменение, которое стоит отметить, - это новая конфигурация электронной почты. Программа-вымогатель helphadow@india.com названа в честь одного из контактов электронной почты, а другая направляет пользователей к тому же имени пользователя, но на другой платформе электронной почты - «helphadow@firemail.cc». К тому времени, как эта статья попадет к вам, обе учетные записи электронной почты, вероятно, будут закрыты. Шансы поймать того, кто стоит за вымогателем helphadow@india.com, невелики, учитывая, что операторы вымогателей используют прокси, службы VPN и сеть TOR, чтобы скрыть свои управляющие устройства. Следовательно, пользователи должны проявлять инициативу в защите своих данных. Шаг номер один - установите программу резервного копирования в вашу систему; шаг номер два - не открывайте файлы от неизвестных отправителей. Не забудьте экспортировать резервные копии данных на съемное запоминающее устройство или в службу хостинга файлов.

Обновление от 13 декабря 2018 г. - программа-вымогатель «Расширение файла .djvu»

Программа-вымогатель «.djvu File Extension» - это новый вариант программы-вымогателя STOP, о которой было сообщено 12 декабря 2018 г. Исследователи компьютерной безопасности классифицируют программу-вымогатель «.djvu File Extension» как небольшое обновление предыдущих выпусков программ-вымогателей STOP и предупреждаем, что угроза по-прежнему распространяется в основном через спам-сообщения. Злоумышленники использовали документы с поддержкой макросов и поддельные PDF-файлы, чтобы обманом заставить пользователей установить свою программу. Атаки с помощью программы-вымогателя «.djvu File Extension» почти не отличаются от первой волны заражений в феврале 2018 года. Угроза удаляет моментальные снимки теневого тома и карты, подключенные к дискам памяти, до того, как зашифрует данные пользователя. Новый вариант поддерживает другое расширение файла, а примечание о выкупе немного изменено. Как видно из названия, файлы получают суффикс «.djvu», а что-то вроде «Jonne-Kaiho.mp3» переименовывается в «Jonne-Kaiho.mp3.djvu». Записка с требованием выкупа отображается на рабочем столе как _openme.txt и гласит:

'ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии мы вам даем?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации
Не пытайтесь использовать сторонние инструменты дешифрования, потому что они уничтожат ваши файлы.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа.
Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
helphadow@india.com

Зарезервируйте адрес электронной почты, чтобы связаться с нами:
helphadow@firemail.cc

Ваш личный идентификатор:
[случайные символы] '

Авторы угроз продолжают использовать учетные записи электронной почты «helphadow@india.com» и «helphadow@firemail.cc» для своих кампаний по вымогательству. Не доверяйте команде STOP Ransomware и избегайте использования фальшивой скидки 50%, упомянутой выше. Обсуждаемые здесь субъекты угроз не отличаются снисходительностью. Пользователи ПК должны удалить программу-вымогатель «.djvu File Extension» с помощью надежного средства защиты от вредоносных программ. Лучше всего использовать резервные изображения и службы резервного копирования для восстановления ваших данных.

Обновление от 11 января 2019 г. - программа-вымогатель .tfude File Extension

Программа-вымогатель «.tfude File Extension» - это версия программы-вымогателя STOP, выпущенная 11 января 2019 года. Угроза классифицируется как версия, которая имеет минимальные модификации по сравнению с исходной киберугрозой. Программа-вымогатель '.tfude File Extension' названа в честь единственного заметного изменения в ее поврежденном коде. Троянец настроен так, чтобы прикреплять расширение файла .tfude к зашифрованным данным. Программа-вымогатель «.tfude File Extension» продолжает использовать стандартные технологии шифрования и безопасные подключения к серверам Command, что не позволяет специалистам по безопасности предлагать бесплатное дешифрование скомпрометированным пользователям.

Настоящая криптоугроза использует технологии шифрования, которые государственные учреждения и компании, такие как Google Inc., используют для защиты передачи данных. Зашифрованные файлы отображаются в проводнике Windows в виде обычных белых значков, а программы, установленные пользователем, остаются работоспособными. Однако некоторые менеджеры баз данных могут работать некорректно, поскольку угроза кодирует популярные форматы баз данных. Например, «Recent sales.pdb» переименован в «Recent sales.pdb.tfude». Записка с требованием выкупа загружается в Блокнот из файла _openme.txt, который находится на рабочем столе. Программа-вымогатель «.tfude File Extension» предлагает то же сообщение, что и исходный троян, но на этот раз злоумышленники используют учетную запись электронной почты pdfhelp@firemail.cc для связи с пользователями. Для пользователей нет бесплатного дешифратора, и вам нужно будет использовать резервные копии данных для восстановления. Вам нужно будет очистить зараженные устройства, запустив полное сканирование системы с помощью надежного инструмента защиты от вредоносных программ.

Обновление от 23 января 2019 г. - программа-вымогатель pausa@bitmessage.ch

Программа-вымогатель pausa@bitmessage.ch - это вредоносная программа для кодирования файлов, которая создается с помощью STOP Ransomware Builder. Программа-вымогатель pausa@bitmessage.ch была выпущена для пользователей ПК в виде спама в первую неделю мая 2018 года. Программа-вымогатель pausa@bitmessage.ch воспринимается как общий троян-шифровальщик, который перезаписывает данные на зараженных компьютерах и удаляет том. снимки, препятствующие восстановлению. Известно, что программа-вымогатель pausa@bitmessage.ch использует те же технологии шифрования, что и другие успешные программы-вымогатели, такие как Cerber и Dharma, и многие другие. Программа-вымогатель pausa@bitmessage.ch запрограммирована для запуска из папки Temp в каталоге AppData и применения безопасного шифра AES-256 к документам, видео, музыке, базам данных и электронным книгам. Закодированные данные получают расширение .PAUSA, а что-то вроде «Hartmann-Save me.mp3» переименовывается в «Hartmann-Save me.mp3.pausa». Уведомление о выкупе сохраняется на рабочем столе пользователя как «!! RESTORE !!!. Txt» и гласит:

«Все ваши важные файлы были зашифрованы на этом компьютере.
Все файлы с расширением .PAUSA зашифрованы.
Шифрование производилось с использованием уникального закрытого ключа RSA-1024, сгенерированного для этого компьютера.
Чтобы расшифровать ваши файлы, вам необходимо получить закрытый ключ + программное обеспечение для расшифровки.
Чтобы получить закрытый ключ и расшифровать программное обеспечение, вам необходимо связаться с нами по электронной почте pausa@bitmessage.ch, отправить нам свой !!! RESTORE !!!. Txt файл и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы - вы можете прислать нам 1-3 любых не очень больших зашифрованных файла, и мы отправим вам их обратно в исходном виде БЕСПЛАТНО.
Цена на расшифровку 600 долларов при обращении к нам в первые 72 часа.
Ваш личный идентификатор:
[случайные символы]
Адрес электронной почты для связи с нами:
pausa@bitmessage.ch
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
pausa@india.com '

Мы рекомендуем вам избегать переговоров с злоумышленниками через учетные записи электронной почты pausa@bitmessage.ch и pausa@india.com. Безопаснее загружать резервные копии данных и очищать систему с помощью надежного средства защиты от вредоносных программ. Даже если вы заплатите абсурдный выкуп в размере 600 долларов, нет никакой гарантии, что вы получите дешифратор. Пользователям ПК рекомендуется делать резервные копии данных не реже двух раз в месяц и игнорировать спам-сообщения, которые могут привести к нарушению безопасности. AV-компании поддерживают правила обнаружения вымогателей «pausa@bitmessage.ch», но на момент написания статьи не существовало бесплатного дешифратора.

Обновление от 23 января 2019 г. - вымогатель 'wait@bitmessage.ch'

Вымогатель 'wait@bitmessage.ch' - это троян-шифровальщик, основанный на программе-вымогателе STOP. Скомпрометированные пользователи сообщили о программе-вымогателе «wait@bitmessage.ch» 18 апреля 2018 г., и, похоже, она вторгается на компьютеры через поврежденные документы Microsoft Word. Программа-вымогатель wait@bitmessage.ch записывается для шифрования фотографий, аудио, видео и текста на зараженных компьютерах. К сожалению, авторы вредоносного ПО добавили команду для удаления моментальных снимков томов, которые Windows делает для защиты ваших данных. Троянец перезаписывает целевые данные файлами с расширением «.WAITING», которые невозможно открыть с помощью программного обеспечения в вашей системе. Например, «Hartmann-Like a River.mp3» переименовывается в «Hartmann-Like a River.mp3.waiting», и на ваш рабочий стол выводится сообщение с требованием выкупа. Программа-вымогатель "wait@bitmessage.ch" пишет "!!! INFO_RESTORE !!!. Txt" на рабочий стол и отображает следующий текст:

«Все ваши важные файлы были зашифрованы на этом компьютере.
Все файлы с расширением .WAITING зашифрованы.
Шифрование производилось с использованием уникального закрытого ключа RSA-1024, сгенерированного для этого компьютера.
Чтобы расшифровать ваши файлы, вам необходимо получить закрытый ключ + программное обеспечение для расшифровки.
Чтобы получить закрытый ключ и расшифровать программное обеспечение, вам необходимо связаться с нами по электронной почте wait@bitmessage.ch, отправить нам свой файл !!! INFO_RESTORE !!!. Txt и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы - вы можете прислать нам 1-3 любых не очень больших зашифрованных файла, и мы отправим вам их обратно в исходном виде БЕСПЛАТНО.
Цена на расшифровку 600 долларов при обращении к нам в первые 72 часа.
Ваш личный идентификатор:
[случайные символы]
Адрес электронной почты для связи с нами:
wait@bitmessage.ch
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
wait@india.com '

Вредоносная программа не мешает сторонним инструментам резервного копирования, и вы должны иметь возможность загружать резервные копии данных. Рекомендуется избегать взаимодействия с злоумышленниками через адреса электронной почты «wait@bitmessage.ch» и «wait@india.com». Возможно, вам будет интересно изучить службы хостинга файлов, если вы хотите защитить свои резервные копии данных от киберугроз, передаваемых по сети, и от большинства вариантов программ-вымогателей, таких как «wait@bitmessage.ch».

Обновление 25 ноября, 2019 - .zobm и .rote Extensions

24 и 25 ноября 2019 года исследователи безопасности наткнулись на пару новых вариантов STOP Ransomware. Варианты вымогателей добавляли зашифрованные файлы с расширениями .zobm и .rote, но имели идентичную записку о выкупе с именем _readme.txt. Электронные письма, по которым можно было связаться с злоумышленниками, также были одинаковыми - datarestorehelp@firemail.cc и datahelp@iran.ir.

ВНИМАНИЕ!
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фотографии, базы данных, документы и другие важные файлы, зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии у вас есть?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации.
Вы можете получить и посмотреть видеообзор инструмента дешифрования:
https://we.tl/t-4NWUGZxdHc
Стоимость закрытого ключа и программного обеспечения для дешифрования составляет 980 долларов.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа, это цена для вас 490 долларов.
Обратите внимание, что вы никогда не восстановите свои данные без оплаты.
Проверьте папку «Спам» или «Нежелательная почта» в своей электронной почте, если вы не получаете ответа более 6 часов.

Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
datarestorehelp@firemail.cc
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
datahelp@iran.ir
Ваш личный идентификатор:
[случайные символы]

 

ОСТАНОВИТЬ программы-вымогатели в 2019 г. и позже

Позже в 2019 году программа-вымогатель STOP все еще использовалась, и тестировались новые векторы атак. Программа-вымогатель STOP начала появляться в пакетах, содержащих другие формы вредоносного ПО, в первую очередь рекламное ПО, которые вы можете найти на веб-сайтах, утверждающих, что они размещают взломанные исполняемые файлы для игр и программного обеспечения. Таким образом, многие из новых жертв вымогателей оказались обнадеживающими программными пиратами, ищущими, кто получил больше, чем они рассчитывали.

Также были доказательства того, что программа-вымогатель STOP устанавливает троянских программ-кражителей паролей, которые могут очищать различные учетные данные для входа в систему.

Программа-вымогатель также расширила длинный список используемых расширений зашифрованных файлов. Файлы, зашифрованные программой-вымогателем STOP, теперь получили расширения .rumba и .tro. На данный момент мало что изменилось - записка о выкупе все еще была найдена в файле с именем "_openme.txt", но сумма выкупа была увеличена до 980 долларов с понижением до 490 долларов, если жертва заплатит в течение первых 72 часов после заражения. .

Обновление 24 марта 2020 г. - Новые варианты

Злоумышленники, стоящие за STOP Ransomware, работали в 2020 году так же неустанно, как и в 2019 году, с новыми вариантами шифрования файлов жертв и добавлением к ним множества новых расширений. Некоторые из новых расширений STOP Ransomware включают .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd и .foop.

Образец записки о выкупе, поставляемой с вариантом .lokd, содержал следующий текст:

ВНИМАНИЕ!

Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фотографии, базы данных, документы и другие важные файлы, зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии у вас есть?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации.
Вы можете получить и посмотреть видеообзор инструмента дешифрования:
https://we.tl/t7m8Wr997Sf
Стоимость закрытого ключа и программного обеспечения для дешифрования составляет 980 долларов.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа, это цена для вас 490 долларов.
Обратите внимание, что вы никогда не восстановите свои данные без оплаты.
Проверьте папку «Спам» или «Нежелательная почта» в своей электронной почте, если вы не получаете ответа более 6 часов.

Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
helpdatarestore@firemail.cc
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
helpmanager@mail.ch
Ваш личный идентификатор:
[случайные символы]

Другие электронные письма, которые злоумышленники использовали с этими новыми вариантами, включают helpmanager@iran.ir и helpmanager@firemail.cc.

Техническая информация

Сведения о файловой системе

ОСТАНОВИТЬ программы-вымогатели создает следующие файлы:
# Имя файла MD5 Количество обнаружений
1 BB30.exe f8ef98bbaff6ac82dacde20ee90bfa55 4,184
2 5F1F.exe b5b59a34192343da2c0fc84fb3bb6b2e 3,149
3 3ffa.exe a0192bd5d8164e61819890e908fa0e7d 1,888
4 97DE.tmp.exe 4e8f1415dd3366f81fa3960db4cf70f9 1,771
5 1368.tmp.exe 8cebee5086592386fa86f3ee5bacc0d2 1,647
6 9686685955.exe 5c71f8c3bb000d163fc2e63c089b35a1 1,628
7 a395.tmp.exe 536f955ae69e666b44aac54c7619b9b1 1,584
8 3823.TMP.EXE.WPT d4fceee0f4fe0f1b50a5c957eab5151b 1,497
9 512B.tmp.exe 89b1b4f3f6ec190865abaa7f61046ee5 1,254
10 3344.exe 6a4d9e0ad2a5361dd947537182f5692d 1,233
11 d5e2.tmp.exe 4c1b9a14dda6a74b7abff708758d98f6 1,038
12 B117.tmp.exe 283bf952e656763a94626cac01d7bc85 979
13 25b9.tmp.exe 9bd737b220a4040dbcaf17f48be54a98 822
14 3A93.tmp.exe d5995275a4d96672ed08cc6188143a7a 773
15 2c6b.tmp.exe ac2dffb783aed99d77ecc2006a29d971 744
16 618.tmp.exe 99ba307185c56cfb6d9ea965fcfef083 719
17 160f.tmp.exe 3a1a3c4b4b3de474b574f48198d6e41e 647
18 1df7.tmp.exe ad5a82caee53510fafcdfcddfa74daae 40
19 5cd3.tmp.exe 1569c3b648b4c63ae39ddc2d2d91b7d5 14
20 e5cb.tmp.exe 031ff93d3e55a84f475cf0b563fe7f65 14
21 5dcc.tmp.exe e3b973420daf30a4180f60337a2eaf90 14
22 6fa4.tmp.exe 67e8f528b4db3443a74718443a2fc788 12
23 cc0.tmp.exe 0564489cff6c549ca82b7a470b305346 11
24 c11d.tmp.exe a0eb1e740d92c51576ed117d8b6de3c5 11
25 ransomware.exe fdc340769c3ca364f6cc7ca1be99762b 0
Больше файлов

Детали реестра

ОСТАНОВИТЬ программы-вымогатели создает следующую запись реестра или записи реестра:
Directory
%ALLUSERSPROFILE%\tzjajmmqgl
%PROGRAMFILES%\3Dmarkproa
%PROGRAMFILES%\3DMarkproed
%PROGRAMFILES%\3DMarkproediot
%PROGRAMFILES%\3DMarkproedit
%PROGRAMFILES%\Blubnerg
%PROGRAMFILES%\cedfs
%PROGRAMFILES%\chrum\xon\note
%PROGRAMFILES%\company\3dmarkssdf
%PROGRAMFILES%\company\64Product
%PROGRAMFILES%\crights\file\xml
%PROGRAMFILES%\Cry\Cryp
%PROGRAMFILES%\cryptoss
%PROGRAMFILES%\crys\cry
%PROGRAMFILES%\crysp\cryq
%PROGRAMFILES%\Davai
%PROGRAMFILES%\der\supr
%PROGRAMFILES%\dera\kii
%PROGRAMFILES%\ferr\seda\sx\bin
%PROGRAMFILES%\Glary\Utilities\Settings
%PROGRAMFILES%\hop
%PROGRAMFILES%\Hyps
%PROGRAMFILES%\inner\win\bin
%PROGRAMFILES%\Innovativ\ddd
%PROGRAMFILES%\Ivp\bin
%ProgramFiles%\kiss\me
%PROGRAMFILES%\krontal
%PROGRAMFILES%\laert
%PROGRAMFILES%\laerts
%PROGRAMFILES%\Laertseer
%PROGRAMFILES%\lass\inst
%PROGRAMFILES%\lastpass\bur\tronfiles
%PROGRAMFILES%\Lawer\Xor
%PROGRAMFILES%\lawop
%PROGRAMFILES%\lawops
%PROGRAMFILES%\Marg\Cr
%PROGRAMFILES%\margin\marg
%ProgramFiles%\mroz\new\trunk
%PROGRAMFILES%\Mup\Cr
%PROGRAMFILES%\opur
%PROGRAMFILES%\Opute
%PROGRAMFILES%\Rondom
%PROGRAMFILES%\sccsd
%PROGRAMFILES%\Sir\Air
%PROGRAMFILES%\sir\xd
%PROGRAMFILES%\Tryhd
%PROGRAMFILES%\virtka
%PROGRAMFILES%\xery
%PROGRAMFILES%\youtubedown
%PROGRAMFILES(x86)%\3Dmarkproa
%PROGRAMFILES(x86)%\3DMarkproed
%PROGRAMFILES(x86)%\3DMarkproediot
%PROGRAMFILES(x86)%\3DMarkproedit
%PROGRAMFILES(x86)%\Blubnerg
%PROGRAMFILES(x86)%\cedfs
%PROGRAMFILES(x86)%\chrum\xon\note
%PROGRAMFILES(x86)%\company\3dmarkssdf
%PROGRAMFILES(x86)%\company\64Product
%PROGRAMFILES(x86)%\crights\file\xml
%PROGRAMFILES(x86)%\Cry\Cryp
%PROGRAMFILES(x86)%\cryptoss
%PROGRAMFILES(x86)%\crys\cry
%PROGRAMFILES(x86)%\crysp\cryq
%PROGRAMFILES(x86)%\Davai
%PROGRAMFILES(x86)%\der\supr
%PROGRAMFILES(x86)%\dera\kii
%PROGRAMFILES(x86)%\ferr\seda\sx\bin
%PROGRAMFILES(x86)%\Glary\Utilities\Settings
%PROGRAMFILES(x86)%\hop
%PROGRAMFILES(x86)%\Hyps
%PROGRAMFILES(x86)%\inner\win\bin
%PROGRAMFILES(x86)%\Innovativ\ddd
%PROGRAMFILES(x86)%\Ivp\bin
%ProgramFiles(x86)%\kiss\me
%PROGRAMFILES(x86)%\krontal
%PROGRAMFILES(x86)%\laert
%PROGRAMFILES(x86)%\laerts
%PROGRAMFILES(x86)%\Laertseer
%PROGRAMFILES(x86)%\lass\inst
%PROGRAMFILES(x86)%\lastpass\bur\tronfiles
%PROGRAMFILES(x86)%\Lawer\Xor
%PROGRAMFILES(x86)%\lawop
%PROGRAMFILES(x86)%\lawops
%PROGRAMFILES(x86)%\Marg\Cr
%PROGRAMFILES(x86)%\margin\marg
%ProgramFiles(x86)%\mroz\new\trunk
%PROGRAMFILES(x86)%\Mup\Cr
%PROGRAMFILES(x86)%\opur
%PROGRAMFILES(x86)%\Opute
%PROGRAMFILES(x86)%\Rondom
%PROGRAMFILES(x86)%\sccsd
%PROGRAMFILES(x86)%\Sir\Air
%PROGRAMFILES(x86)%\sir\xd
%PROGRAMFILES(x86)%\Tryhd
%PROGRAMFILES(x86)%\virtka
%PROGRAMFILES(x86)%\xery
%PROGRAMFILES(x86)%\youtubedown
File name without path
34fedwfe.exe
3fwedfe.exe
45rfedwwed.exe
45trgvdcregt.exe
4gtrecwr3t4g.exe
4rfeerwd.exe
54grfecr4bv.exe
5t4fr3dex.exe
5ygt4rfcd.exe
745rgfed.exe
brgrtv3f.exe
btevfrdcs.exe
ewfwe2.exe
ewrewexcf.exe
gtreefcd.exe
hwxfesa.exe
r44r3red.exe
retrvced.exe
rewrtrbvfd.exe
rfhi3f.exe
t4rtecf3rfe.exe
tbvgrfced.exe
tgrfet4tgrf.exe
trvecwx.exe
uyjhbv.exe
ybtvgrfcd.exe
yntbrvecd.exe
Regexp file mask
%programfiles%\fina\dowloadx.exe
%programfiles%\jack\setup.exe
%programfiles%\jack\setx.exe
%programfiles%\love\setup.exe
%programfiles%\new year\setx.exe
%programfiles(x86)%\fina\dowloadx.exe
%programfiles(x86)%\jack\setup.exe
%programfiles(x86)%\jack\setx.exe
%programfiles(x86)%\love\setup.exe
%programfiles(x86)%\new year\setx.exe

Отказ от ответственности за сайт

Enigmasoftware.com не связан, не аффилирован, не спонсируется и не принадлежит создателям или распространителям вредоносного ПО, упомянутым в этой статье . Эту статью НЕ следует ошибочно или путать, поскольку она каким-либо образом связана с продвижением или одобрением вредоносного ПО. Наша цель - предоставить информацию, которая научит пользователей компьютеров тому, как обнаруживать и, в конечном итоге, удалять вредоносные программы со своих компьютеров с помощью SpyHunter и/или инструкций по удалению вручную, приведенных в этой статье.

Эта статья предоставляется «как есть» и предназначена только для использования в образовательных информационных целях.Следуя любым инструкциям в этой статье, вы соглашаетесь с отказом от ответственности. Мы не даем никаких гарантий, что эта статья поможет вам полностью удалить вредоносные программы с вашего компьютера. Шпионское ПО регулярно меняется; поэтому полностью очистить зараженную машину вручную сложно.