ОСТАНОВИТЬ программы-вымогатели
Карта показателей угрозы
Карта оценки угроз EnigmaSoft
EnigmaSoft Threat Scorecards — это отчеты об оценке различных вредоносных программ, которые были собраны и проанализированы нашей исследовательской группой. EnigmaSoft Threat Scorecards оценивает и ранжирует угрозы, используя несколько показателей, включая реальные и потенциальные факторы риска, тенденции, частоту, распространенность и постоянство. EnigmaSoft Threat Scorecards регулярно обновляются на основе данных и показателей наших исследований и полезны для широкого круга пользователей компьютеров, от конечных пользователей, ищущих решения для удаления вредоносных программ из своих систем, до экспертов по безопасности, анализирующих угрозы.
EnigmaSoft Threat Scorecards отображает разнообразную полезную информацию, в том числе:
Рейтинг: рейтинг конкретной угрозы в базе данных угроз EnigmaSoft.
Уровень серьезности: определенный уровень серьезности объекта, представленный в числовом виде на основе нашего процесса моделирования рисков и исследований, как описано в наших критериях оценки угроз .
Зараженные компьютеры: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженной на зараженных компьютерах, по данным SpyHunter.
См. также Критерии оценки угроз .
Рейтинг: | 116 |
Уровень угрозы: | 100 % (Высокая) |
Зараженные компьютеры: | 358,443 |
Первый раз: | November 29, 2018 |
Последний визит: | March 7, 2024 |
ОС(а) Затронутые: | Windows |
21 февраля 2018 г. исследователи безопасности ПК получили сообщения об атаках программ-вымогателей с использованием угрозы, известной как STOP Ransomware. Программа STOP Ransomware основана на платформе программ-вымогателей с открытым исходным кодом и выполняет типичную версию атаки программ-вымогателей с шифрованием. STOP Ransomware распространяется с использованием спам-сообщений электронной почты, содержащих поврежденные файловые вложения. Эти прикрепленные файлы имеют форму файлов DOCX со встроенными макросценариями, которые загружают и устанавливают STOP Ransomware на компьютер жертвы. Научиться распознавать фишинговые электронные письма и избегать загрузки любых полученных нежелательных файловых вложений - один из способов избежать этих атак.
Оглавление
Как распознать STOP Ransomware-инфекцию
После того, как программа-вымогатель STOP установлена на компьютер жертвы, программа-вымогатель STOP будет искать на ее дисках самые разные типы файлов, обычно ища созданные пользователем файлы, такие как изображения, мультимедийные файлы и многие другие типы документов. Похоже, что программа-вымогатель STOP также предназначена для целевых веб-серверов, поскольку она ищет файлы базы данных и аналогичные типы файлов, обычно явно содержащиеся на этих машинах. Типы файлов, которые STOP Ransomware будет искать и нацеливать на свою атаку, включают:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm,. pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.
На этой неделе в вредоносном ПО, эпизод 10: STOP и Zorab Ransomware эксплуатируют жертв с помощью поддельного дешифратора
STOP Ransomware использует надежный алгоритм шифрования, чтобы сделать каждый файл жертвы недоступным. Атака STOP Ransomware добавит расширение файла «.SUSPENDED» к файлам, которые он зашифровывает, чтобы пометить затронутые файлы.
Записка о выкупе программы-вымогателя STOP
Программа-вымогатель STOP требует уплаты выкупа, доставив записку о выкупе на компьютер жертвы. Эта записка о выкупе отображается в текстовом файле, перетаскиваемом на рабочий стол жертвы. Файл с именем '!!! YourDataRestore !!!. Txt, 'содержит сообщение:
«Все ваши важные файлы были зашифрованы на этом компьютере.
Все файлы с расширением .STOP зашифрованы. Шифрование производилось с использованием уникального закрытого ключа RSA-1024, сгенерированного для этого компьютера.
Чтобы расшифровать ваши файлы, вам необходимо получить закрытый ключ + программное обеспечение для расшифровки.
Чтобы получить закрытый ключ и расшифровать программное обеспечение, вам необходимо связаться с нами по электронной почте stopfilesrestore@bitmessage.ch, отправить нам по электронной почте свой файл !!! YourDataRestore !!! .txt и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы - вы можете прислать нам 1-3 любых не очень больших зашифрованных файла и отправить вам обратно в исходном виде БЕСПЛАТНО.
Цена на расшифровку 600 долларов при обращении к нам в первые 72 часа.
Ваш личный идентификатор:
[СЛУЧАЙНЫЕ СИМВОЛЫ]
Адрес электронной почты для связи с нами:
stopfilesrestoret@bitmessage.ch
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
stopfilesrestore@india.com '
Люди, ответственные за STOP Ransomware, требуют выкуп в размере 600 долларов США, который должен быть выплачен с использованием биткойнов на определенный адрес биткойн-кошелька в течение 72 часов. Однако обращение к этим людям или оплата выкупа STOP Ransomware может быть не лучшим решением.
Защита ваших данных от программ-вымогателей STOP и других троянских программ-вымогателей
Лучшая защита от STOP Ransomware и других троянских программ-вымогателей - это резервные копии файлов. Пользователи компьютеров, у которых есть резервные копии своих файлов, могут легко восстановить эти файлы после атаки, не прибегая к уплате выкупа. Рекомендуемая программа безопасности также может предотвратить установку STOP Ransomware.
Обновление от 6 декабря 2018 г. - «helphadow@india.com» Ransomware
Программа-вымогатель «helphadow@india.com» классифицируется как сравнительно небольшое обновление кода, имеющего марку STOP Ransomware. Авторы угроз, похоже, не уделили достаточно времени доработке нового варианта, так как у него низкий коэффициент заражения. Вымогательское ПО «helphadow@india.com» было быстро обнаружено поставщиками антивирусных программ, а оповещения отправлялись через основные социальные платформы и отчеты о кибербезопасности. К сожалению, возможности бесплатной расшифровки пока нет. Пользователи обычно скомпрометированы из-за поврежденного документа, полученного по электронной почте. Известно, что угроза стирает моментальные снимки теневого тома, созданные Windows, и прикрепляет расширение .shadow к зашифрованным объектам. Например, «C12-H22-O11.pptx» переименовывается в «C12-H22-O11.pptx.shadow», а на рабочем столе появляется записка с требованием выкупа «! Readme.txt». Программа-вымогатель helphadow@india.com может показать зараженным пользователям следующее сообщение:
'ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии мы вам даем?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации
Не пытайтесь использовать сторонние инструменты дешифрования, потому что они уничтожат ваши файлы.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа.
Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
helphadow@india.com
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
helphadow@firemail.cc
Ваш личный идентификатор:
[случайные символы] '
Приведенный выше текст используется вариантами, выпущенными раньше, чем вымогатель «helphadow@india.com», и единственное изменение, которое стоит отметить, - это новая конфигурация электронной почты. Программа-вымогатель helphadow@india.com названа в честь одного из контактов электронной почты, а другая направляет пользователей к тому же имени пользователя, но на другой платформе электронной почты - «helphadow@firemail.cc». К тому времени, как эта статья попадет к вам, обе учетные записи электронной почты, вероятно, будут закрыты. Шансы поймать того, кто стоит за вымогателем helphadow@india.com, невелики, учитывая, что операторы вымогателей используют прокси, службы VPN и сеть TOR, чтобы скрыть свои управляющие устройства. Следовательно, пользователи должны проявлять инициативу в защите своих данных. Шаг номер один - установите программу резервного копирования в вашу систему; шаг номер два - не открывайте файлы от неизвестных отправителей. Не забудьте экспортировать резервные копии данных на съемное запоминающее устройство или в службу хостинга файлов.
Обновление от 13 декабря 2018 г. - программа-вымогатель «Расширение файла .djvu»
Программа-вымогатель «.djvu File Extension» - это новый вариант программы-вымогателя STOP, о которой было сообщено 12 декабря 2018 г. Исследователи компьютерной безопасности классифицируют программу-вымогатель «.djvu File Extension» как небольшое обновление предыдущих выпусков программ-вымогателей STOP и предупреждаем, что угроза по-прежнему распространяется в основном через спам-сообщения. Злоумышленники использовали документы с поддержкой макросов и поддельные PDF-файлы, чтобы обманом заставить пользователей установить свою программу. Атаки с помощью программы-вымогателя «.djvu File Extension» почти не отличаются от первой волны заражений в феврале 2018 года. Угроза удаляет моментальные снимки теневого тома и карты, подключенные к дискам памяти, до того, как зашифрует данные пользователя. Новый вариант поддерживает другое расширение файла, а примечание о выкупе немного изменено. Как видно из названия, файлы получают суффикс «.djvu», а что-то вроде «Jonne-Kaiho.mp3» переименовывается в «Jonne-Kaiho.mp3.djvu». Записка с требованием выкупа отображается на рабочем столе как _openme.txt и гласит:
'ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии мы вам даем?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации
Не пытайтесь использовать сторонние инструменты дешифрования, потому что они уничтожат ваши файлы.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа.
Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
helphadow@india.com
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
helphadow@firemail.cc
Ваш личный идентификатор:
[случайные символы] '
Авторы угроз продолжают использовать учетные записи электронной почты «helphadow@india.com» и «helphadow@firemail.cc» для своих кампаний по вымогательству. Не доверяйте команде STOP Ransomware и избегайте использования фальшивой скидки 50%, упомянутой выше. Обсуждаемые здесь субъекты угроз не отличаются снисходительностью. Пользователи ПК должны удалить программу-вымогатель «.djvu File Extension» с помощью надежного средства защиты от вредоносных программ. Лучше всего использовать резервные изображения и службы резервного копирования для восстановления ваших данных.
Обновление от 11 января 2019 г. - программа-вымогатель .tfude File Extension
Программа-вымогатель «.tfude File Extension» - это версия программы-вымогателя STOP, выпущенная 11 января 2019 года. Угроза классифицируется как версия, которая имеет минимальные модификации по сравнению с исходной киберугрозой. Программа-вымогатель '.tfude File Extension' названа в честь единственного заметного изменения в ее поврежденном коде. Троянец настроен так, чтобы прикреплять расширение файла .tfude к зашифрованным данным. Программа-вымогатель «.tfude File Extension» продолжает использовать стандартные технологии шифрования и безопасные подключения к серверам Command, что не позволяет специалистам по безопасности предлагать бесплатное дешифрование скомпрометированным пользователям.
Настоящая криптоугроза использует технологии шифрования, которые государственные учреждения и компании, такие как Google Inc., используют для защиты передачи данных. Зашифрованные файлы отображаются в проводнике Windows в виде обычных белых значков, а программы, установленные пользователем, остаются работоспособными. Однако некоторые менеджеры баз данных могут работать некорректно, поскольку угроза кодирует популярные форматы баз данных. Например, «Recent sales.pdb» переименован в «Recent sales.pdb.tfude». Записка с требованием выкупа загружается в Блокнот из файла _openme.txt, который находится на рабочем столе. Программа-вымогатель «.tfude File Extension» предлагает то же сообщение, что и исходный троян, но на этот раз злоумышленники используют учетную запись электронной почты pdfhelp@firemail.cc для связи с пользователями. Для пользователей нет бесплатного дешифратора, и вам нужно будет использовать резервные копии данных для восстановления. Вам нужно будет очистить зараженные устройства, запустив полное сканирование системы с помощью надежного инструмента защиты от вредоносных программ.
Обновление от 23 января 2019 г. - программа-вымогатель pausa@bitmessage.ch
Программа-вымогатель pausa@bitmessage.ch - это вредоносная программа для кодирования файлов, которая создается с помощью STOP Ransomware Builder. Программа-вымогатель pausa@bitmessage.ch была выпущена для пользователей ПК в виде спама в первую неделю мая 2018 года. Программа-вымогатель pausa@bitmessage.ch воспринимается как общий троян-шифровальщик, который перезаписывает данные на зараженных компьютерах и удаляет том. снимки, препятствующие восстановлению. Известно, что программа-вымогатель pausa@bitmessage.ch использует те же технологии шифрования, что и другие успешные программы-вымогатели, такие как Cerber и Dharma, и многие другие. Программа-вымогатель pausa@bitmessage.ch запрограммирована для запуска из папки Temp в каталоге AppData и применения безопасного шифра AES-256 к документам, видео, музыке, базам данных и электронным книгам. Закодированные данные получают расширение .PAUSA, а что-то вроде «Hartmann-Save me.mp3» переименовывается в «Hartmann-Save me.mp3.pausa». Уведомление о выкупе сохраняется на рабочем столе пользователя как «!! RESTORE !!!. Txt» и гласит:
«Все ваши важные файлы были зашифрованы на этом компьютере.
Все файлы с расширением .PAUSA зашифрованы.
Шифрование производилось с использованием уникального закрытого ключа RSA-1024, сгенерированного для этого компьютера.
Чтобы расшифровать ваши файлы, вам необходимо получить закрытый ключ + программное обеспечение для расшифровки.
Чтобы получить закрытый ключ и расшифровать программное обеспечение, вам необходимо связаться с нами по электронной почте pausa@bitmessage.ch, отправить нам свой !!! RESTORE !!!. Txt файл и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы - вы можете прислать нам 1-3 любых не очень больших зашифрованных файла, и мы отправим вам их обратно в исходном виде БЕСПЛАТНО.
Цена на расшифровку 600 долларов при обращении к нам в первые 72 часа.
Ваш личный идентификатор:
[случайные символы]
Адрес электронной почты для связи с нами:
pausa@bitmessage.ch
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
pausa@india.com '
Мы рекомендуем вам избегать переговоров с злоумышленниками через учетные записи электронной почты pausa@bitmessage.ch и pausa@india.com. Безопаснее загружать резервные копии данных и очищать систему с помощью надежного средства защиты от вредоносных программ. Даже если вы заплатите абсурдный выкуп в размере 600 долларов, нет никакой гарантии, что вы получите дешифратор. Пользователям ПК рекомендуется делать резервные копии данных не реже двух раз в месяц и игнорировать спам-сообщения, которые могут привести к нарушению безопасности. AV-компании поддерживают правила обнаружения вымогателей «pausa@bitmessage.ch», но на момент написания статьи не существовало бесплатного дешифратора.
Обновление от 23 января 2019 г. - вымогатель 'wait@bitmessage.ch'
Вымогатель 'wait@bitmessage.ch' - это троян-шифровальщик, основанный на программе-вымогателе STOP. Скомпрометированные пользователи сообщили о программе-вымогателе «wait@bitmessage.ch» 18 апреля 2018 г., и, похоже, она вторгается на компьютеры через поврежденные документы Microsoft Word. Программа-вымогатель wait@bitmessage.ch записывается для шифрования фотографий, аудио, видео и текста на зараженных компьютерах. К сожалению, авторы вредоносного ПО добавили команду для удаления моментальных снимков томов, которые Windows делает для защиты ваших данных. Троянец перезаписывает целевые данные файлами с расширением «.WAITING», которые невозможно открыть с помощью программного обеспечения в вашей системе. Например, «Hartmann-Like a River.mp3» переименовывается в «Hartmann-Like a River.mp3.waiting», и на ваш рабочий стол выводится сообщение с требованием выкупа. Программа-вымогатель "wait@bitmessage.ch" пишет "!!! INFO_RESTORE !!!. Txt" на рабочий стол и отображает следующий текст:
«Все ваши важные файлы были зашифрованы на этом компьютере.
Все файлы с расширением .WAITING зашифрованы.
Шифрование производилось с использованием уникального закрытого ключа RSA-1024, сгенерированного для этого компьютера.
Чтобы расшифровать ваши файлы, вам необходимо получить закрытый ключ + программное обеспечение для расшифровки.
Чтобы получить закрытый ключ и расшифровать программное обеспечение, вам необходимо связаться с нами по электронной почте wait@bitmessage.ch, отправить нам свой файл !!! INFO_RESTORE !!!. Txt и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы - вы можете прислать нам 1-3 любых не очень больших зашифрованных файла, и мы отправим вам их обратно в исходном виде БЕСПЛАТНО.
Цена на расшифровку 600 долларов при обращении к нам в первые 72 часа.
Ваш личный идентификатор:
[случайные символы]
Адрес электронной почты для связи с нами:
wait@bitmessage.ch
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
wait@india.com '
Вредоносная программа не мешает сторонним инструментам резервного копирования, и вы должны иметь возможность загружать резервные копии данных. Рекомендуется избегать взаимодействия с злоумышленниками через адреса электронной почты «wait@bitmessage.ch» и «wait@india.com». Возможно, вам будет интересно изучить службы хостинга файлов, если вы хотите защитить свои резервные копии данных от киберугроз, передаваемых по сети, и от большинства вариантов программ-вымогателей, таких как «wait@bitmessage.ch».
Обновление 25 ноября, 2019 - .zobm и .rote Extensions
24 и 25 ноября 2019 года исследователи безопасности наткнулись на пару новых вариантов STOP Ransomware. Варианты вымогателей добавляли зашифрованные файлы с расширениями .zobm и .rote, но имели идентичную записку о выкупе с именем _readme.txt. Электронные письма, по которым можно было связаться с злоумышленниками, также были одинаковыми - datarestorehelp@firemail.cc и datahelp@iran.ir.
ВНИМАНИЕ!
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фотографии, базы данных, документы и другие важные файлы, зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии у вас есть?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации.
Вы можете получить и посмотреть видеообзор инструмента дешифрования:
https://we.tl/t-4NWUGZxdHc
Стоимость закрытого ключа и программного обеспечения для дешифрования составляет 980 долларов.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа, это цена для вас 490 долларов.
Обратите внимание, что вы никогда не восстановите свои данные без оплаты.
Проверьте папку «Спам» или «Нежелательная почта» в своей электронной почте, если вы не получаете ответа более 6 часов.
Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
datarestorehelp@firemail.cc
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
datahelp@iran.ir
Ваш личный идентификатор:
[случайные символы]
ОСТАНОВИТЬ программы-вымогатели в 2019 г. и позже
Позже в 2019 году программа-вымогатель STOP все еще использовалась, и тестировались новые векторы атак. Программа-вымогатель STOP начала появляться в пакетах, содержащих другие формы вредоносного ПО, в первую очередь рекламное ПО, которые вы можете найти на веб-сайтах, утверждающих, что они размещают взломанные исполняемые файлы для игр и программного обеспечения. Таким образом, многие из новых жертв вымогателей оказались обнадеживающими программными пиратами, ищущими, кто получил больше, чем они рассчитывали.
Также были доказательства того, что программа-вымогатель STOP устанавливает троянских программ-кражителей паролей, которые могут очищать различные учетные данные для входа в систему.
Программа-вымогатель также расширила длинный список используемых расширений зашифрованных файлов. Файлы, зашифрованные программой-вымогателем STOP, теперь получили расширения .rumba и .tro. На данный момент мало что изменилось - записка о выкупе все еще была найдена в файле с именем "_openme.txt", но сумма выкупа была увеличена до 980 долларов с понижением до 490 долларов, если жертва заплатит в течение первых 72 часов после заражения. .
Обновление 24 марта 2020 г. - Новые варианты
Злоумышленники, стоящие за STOP Ransomware, работали в 2020 году так же неустанно, как и в 2019 году, с новыми вариантами шифрования файлов жертв и добавлением к ним множества новых расширений. Некоторые из новых расширений STOP Ransomware включают .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd и .foop.
Образец записки о выкупе, поставляемой с вариантом .lokd, содержал следующий текст:
ВНИМАНИЕ!
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фотографии, базы данных, документы и другие важные файлы, зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии у вас есть?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации.
Вы можете получить и посмотреть видеообзор инструмента дешифрования:
https://we.tl/t7m8Wr997Sf
Стоимость закрытого ключа и программного обеспечения для дешифрования составляет 980 долларов.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа, это цена для вас 490 долларов.
Обратите внимание, что вы никогда не восстановите свои данные без оплаты.
Проверьте папку «Спам» или «Нежелательная почта» в своей электронной почте, если вы не получаете ответа более 6 часов.
Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
helpdatarestore@firemail.cc
Зарезервируйте адрес электронной почты, чтобы связаться с нами:
helpmanager@mail.ch
Ваш личный идентификатор:
[случайные символы]
Другие электронные письма, которые злоумышленники использовали с этими новыми вариантами, включают helpmanager@iran.ir и helpmanager@firemail.cc.
SpyHunter обнаруживает и удаляет ОСТАНОВИТЬ программы-вымогатели
ОСТАНОВИТЬ программы-вымогатели Скриншотов
Сведения о файловой системе
# | Имя файла | MD5 |
Обнаружения
Обнаружения: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженных на зараженных компьютерах, согласно данным SpyHunter.
|
---|---|---|---|
1. | BB30.exe | f8ef98bbaff6ac82dacde20ee90bfa55 | 4,204 |
2. | 5F1F.exe | b5b59a34192343da2c0fc84fb3bb6b2e | 3,154 |
3. | 3ffa.exe | a0192bd5d8164e61819890e908fa0e7d | 1,890 |
4. | 97DE.tmp.exe | 4e8f1415dd3366f81fa3960db4cf70f9 | 1,772 |
5. | 1368.tmp.exe | 8cebee5086592386fa86f3ee5bacc0d2 | 1,647 |
6. | 9686685955.exe | 5c71f8c3bb000d163fc2e63c089b35a1 | 1,630 |
7. | a395.tmp.exe | 536f955ae69e666b44aac54c7619b9b1 | 1,589 |
8. | 3823.TMP.EXE.WPT | d4fceee0f4fe0f1b50a5c957eab5151b | 1,500 |
9. | 512B.tmp.exe | 89b1b4f3f6ec190865abaa7f61046ee5 | 1,255 |
10. | 3344.exe | 6a4d9e0ad2a5361dd947537182f5692d | 1,240 |
11. | d5e2.tmp.exe | 4c1b9a14dda6a74b7abff708758d98f6 | 1,038 |
12. | B117.tmp.exe | 283bf952e656763a94626cac01d7bc85 | 979 |
13. | 25b9.tmp.exe | 9bd737b220a4040dbcaf17f48be54a98 | 825 |
14. | 3A93.tmp.exe | d5995275a4d96672ed08cc6188143a7a | 773 |
15. | 2c6b.tmp.exe | ac2dffb783aed99d77ecc2006a29d971 | 744 |
16. | 618.tmp.exe | 99ba307185c56cfb6d9ea965fcfef083 | 719 |
17. | 160f.tmp.exe | 3a1a3c4b4b3de474b574f48198d6e41e | 647 |
18. | 1df7.tmp.exe | ad5a82caee53510fafcdfcddfa74daae | 54 |
19. | 5cd3.tmp.exe | 1569c3b648b4c63ae39ddc2d2d91b7d5 | 14 |
20. | e5cb.tmp.exe | 031ff93d3e55a84f475cf0b563fe7f65 | 14 |
21. | 5dcc.tmp.exe | e3b973420daf30a4180f60337a2eaf90 | 14 |
22. | 6fa4.tmp.exe | 67e8f528b4db3443a74718443a2fc788 | 12 |
23. | cc0.tmp.exe | 0564489cff6c549ca82b7a470b305346 | 11 |
24. | c11d.tmp.exe | a0eb1e740d92c51576ed117d8b6de3c5 | 11 |
25. | ransomware.exe | fdc340769c3ca364f6cc7ca1be99762b | 0 |
Детали реестра
Каталоги
ОСТАНОВИТЬ программы-вымогатели может создать следующий каталог или каталоги:
%ALLUSERSPROFILE%\tzjajmmqgl |
%PROGRAMFILES%\3DMarkproed |
%PROGRAMFILES%\3DMarkproediot |
%PROGRAMFILES%\3DMarkproedit |
%PROGRAMFILES%\3Dmarkproa |
%PROGRAMFILES%\Blubnerg |
%PROGRAMFILES%\Cry\Cryp |
%PROGRAMFILES%\Davai |
%PROGRAMFILES%\Glary\Utilities\Settings |
%PROGRAMFILES%\Hyps |
%PROGRAMFILES%\Innovativ\ddd |
%PROGRAMFILES%\Ivp\bin |
%PROGRAMFILES%\Laertseer |
%PROGRAMFILES%\Lawer\Xor |
%PROGRAMFILES%\Marg\Cr |
%PROGRAMFILES%\Mup\Cr |
%PROGRAMFILES%\Opute |
%PROGRAMFILES%\Rondom |
%PROGRAMFILES%\Sir\Air |
%PROGRAMFILES%\Tryhd |
%PROGRAMFILES%\cedfs |
%PROGRAMFILES%\chrum\xon\note |
%PROGRAMFILES%\company\3dmarkssdf |
%PROGRAMFILES%\company\64Product |
%PROGRAMFILES%\crights\file\xml |
%PROGRAMFILES%\cryptoss |
%PROGRAMFILES%\crys\cry |
%PROGRAMFILES%\crysp\cryq |
%PROGRAMFILES%\der\supr |
%PROGRAMFILES%\dera\kii |
%PROGRAMFILES%\ferr\seda\sx\bin |
%PROGRAMFILES%\hop |
%PROGRAMFILES%\inner\win\bin |
%PROGRAMFILES%\krontal |
%PROGRAMFILES%\laert |
%PROGRAMFILES%\laerts |
%PROGRAMFILES%\lass\inst |
%PROGRAMFILES%\lastpass\bur\tronfiles |
%PROGRAMFILES%\lawop |
%PROGRAMFILES%\lawops |
%PROGRAMFILES%\margin\marg |
%PROGRAMFILES%\opur |
%PROGRAMFILES%\sccsd |
%PROGRAMFILES%\sir\xd |
%PROGRAMFILES%\virtka |
%PROGRAMFILES%\xery |
%PROGRAMFILES%\youtubedown |
%PROGRAMFILES(x86)%\3DMarkproed |
%PROGRAMFILES(x86)%\3DMarkproediot |
%PROGRAMFILES(x86)%\3DMarkproedit |
%PROGRAMFILES(x86)%\3Dmarkproa |
%PROGRAMFILES(x86)%\Blubnerg |
%PROGRAMFILES(x86)%\Cry\Cryp |
%PROGRAMFILES(x86)%\Davai |
%PROGRAMFILES(x86)%\Hyps |
%PROGRAMFILES(x86)%\Innovativ\ddd |
%PROGRAMFILES(x86)%\Laertseer |
%PROGRAMFILES(x86)%\Lawer\Xor |
%PROGRAMFILES(x86)%\Marg\Cr |
%PROGRAMFILES(x86)%\Mup\Cr |
%PROGRAMFILES(x86)%\Opute |
%PROGRAMFILES(x86)%\Rondom |
%PROGRAMFILES(x86)%\Sir\Air |
%PROGRAMFILES(x86)%\Tryhd |
%PROGRAMFILES(x86)%\cedfs |
%PROGRAMFILES(x86)%\chrum\xon\note |
%PROGRAMFILES(x86)%\company\3dmarkssdf |
%PROGRAMFILES(x86)%\company\64Product |
%PROGRAMFILES(x86)%\crights\file\xml |
%PROGRAMFILES(x86)%\cryptoss |
%PROGRAMFILES(x86)%\crys\cry |
%PROGRAMFILES(x86)%\crysp\cryq |
%PROGRAMFILES(x86)%\der\supr |
%PROGRAMFILES(x86)%\dera\kii |
%PROGRAMFILES(x86)%\ferr\seda\sx\bin |
%PROGRAMFILES(x86)%\hop |
%PROGRAMFILES(x86)%\inner\win\bin |
%PROGRAMFILES(x86)%\krontal |
%PROGRAMFILES(x86)%\laert |
%PROGRAMFILES(x86)%\laerts |
%PROGRAMFILES(x86)%\lass\inst |
%PROGRAMFILES(x86)%\lastpass\bur\tronfiles |
%PROGRAMFILES(x86)%\lawop |
%PROGRAMFILES(x86)%\lawops |
%PROGRAMFILES(x86)%\margin\marg |
%PROGRAMFILES(x86)%\opur |
%PROGRAMFILES(x86)%\sccsd |
%PROGRAMFILES(x86)%\sir\xd |
%PROGRAMFILES(x86)%\virtka |
%PROGRAMFILES(x86)%\xery |
%PROGRAMFILES(x86)%\youtubedown |
%ProgramFiles%\kiss\me |
%ProgramFiles%\mroz\new\trunk |
%ProgramFiles(x86)%\kiss\me |
%ProgramFiles(x86)%\mroz\new\trunk |