Poista Hermes 2.1 virus (Poisto-ohjeet) - päivitetty maalis 2018

Mikä on Hermes 2.1 lunnasohjelma virus?

Hermes 2.1 on lunnasohjelma virus, joka nyt hyökkää Etelä-Korealaisia kohden zero-day exploitilla

Hermes 2.1 on lunnasohjelman tyyppinen verkkouhka, joka kuuluu samaan perheeseen kuin Hermes lunnasohjelma sekä Hermes 2.0. Se huomattiin vuoden 2017 lopussa, kun verkkoturvallisuuden asiantuntijat huomasivat sen hyökkäävän englantia puhuviin käyttäjiin. Maaliskuussa 2018, uusi Hermes 2.1 lunnasohjelman versio huomattiin. Tällä hetkellä se kohdistaa Etelä-Korealaisia PC käyttäjiä GreenFlash Sundown Flash Player exploit kitin avulla, joka antaa levittää Hermes 2.1 virusta Flash zero-day avulla. Uusi versio laukaistaan svchosta.exe tiedostosta ja se salaa tiedostot RSA julkisella avaimella sekä AES salauksella. Jokainen salattu tiedosto saa .HERMES tiedoston päätteen, kun aikaisemmat versiot saivat .hrm päätteen.

Toinen tämän vaarallisen verkkouhan ominaisuuksista on sen kyky poistaa shadow volume kopiot. Ihmiset voivat poistaa salauksen vain alkuperäisellä salauksen poistajalla tai varmuuskopioilla.

Erot vanhan ja uudemman Hermes 2.1 version välillä on uusi tiedoston pääte saastuneen materiaalin lopussa. Aikaisempien analyysien mukaan, sen tapana oli jättää HERMES tiedoston pääte ja nyt se käyttää useita satunnaisia merkkejä ja symboleja.

Kuten mainitsimme yläpuolella, uusi Hermes 2.1 virus versio ei käytä .HRM laajennusta enää. Tämä ei kuitenkaan ole päivitetyn version tärkein ominaisuus. Viimeisin versio käyttää AES-256 salausta, joka on salattu RSA-2048 salauksella. Tämä tekee IT-ammattilaisten työstä vaikeaa, kun he koettavat luoda salauksen poistoavainta, koska jokaisessa salatussa tiedostossa on erilainen koodaus.

Vaikka Hermes 2.1 muut ominaisuudet pysyvät samana — sen kehittäjät yhä asettavat mp3 koodin Vivaldin Kevät sävellyksestä. Tämän lisäksi rikolliset mainitsevat Wichita State University koulun, joka sijaitsee Kansas cityssä ja jättävät kaksi sähköpostia, joista voimme miettiä ovat nämä tiedot jätetty vahingossa vai ei:

1. BM-2cTSTDcCD5cNqQ5Ugx4US7momFtBynwdgJ@bitmessage.ch;
2. BM2cT72URgs1AWGV6Wy6KBu2yuj3ychN5vxC@bitmessage.ch.

Hermes 2.1 virus poistaa shadow volume kopiot, joten vaihtoehdot tiedostojen palauttamiseen ovat rajalliset.

Onneksi Hermes 2.1 haittaohjelma ja sen uusin versio voidaan tunnistaa useimmilla turvaohjelmilla, nimellä Trojan[Ransom]/Win32.AGeneric, Ransom.Hermes. Trojan.GenericKD.6154143, jne. Se toimii tiedostojen ClrgraphicsOperation ja My video.exe kautta.

Haittaohjelma voi piiloutua vaihtoehtoisen tiedoston alle. Jos huomasit tiedostojen oleva lukittuja ja merkittyjä .HRM päätteellä tai saat DECRYPT_INFO.txt, sekä DECRYPT_INFORMATION.html tiedoston, on aika suorittaa Hermes 2.1 poisto.

Voit poistaa Hermes 2.1 viruksen ammattilaisten turvaohjelmalla. Me suosittelemme käyttämään FortectIntego ohjelmaa, mutta ensin sinun pitää estää virusta lukitsemasta järjestelmääsi ja saada mahdollisuus ladata antivirus. Voit oppia, miten se tehdään, tämän artikkelin lopussa olevan ohjeen avulla.

Viimeisin Hermes 2.1 versio leviää Office dokumenttien kautta, joissa on Flash exploit: Etelä-Korealaiset hyökkäyksen kohteena

South Korean Emergency Response Team (KrCERT) teki julkaisun Hermes 2.1 lunnasohjelma viruksesta, joka tällä hetkellä hyökkää Etelä-Korealaisiin Flash Player 28.0.0.137 haavoittuvuuden kautta edistyneen GreenFlash Sundown exploit kitin avulla. Samaa exploit kittiä käytti Lazarus, ryhmä Pohjois-Korealaisia hakkereita, jotka aikaisemmin hyökkäsivät Taiwanilaiseen pankkiin.

Lunnasohjelman kuormaa levitetään vaarallisen Word Office dokumentin avulla. Useita huijauskampanjoita on aloitettu kuorman levittämiseksi laajalle. Ensimmäinen hyökkäys tehtiin saastuneen Korealaisen sivun kautta Helmikuun 2018 lopussa.

Kun Hermes 2.1 lunnasohjelman kuorma laukaistaan, se luo svchosta.exe tiedoston %TEMP% kansiossa. Käynnistyksen aikana uhrilta pyydetään lupa skriptin käynnistämiseen. Vaikka lupaa ei anneta, niin virus aloittaa salauksen.

Salauksen aikana se luo tiedoston UNIQUE_ID_DO_NOT_REMOVE, jossa on yksityinen RSA avain sekä lunnasviesti nimeltä DECRYPT_INFORMATION.html, se on C:\Users\Public\ kansiossa. Lunnasviestissä on seuraavat tiedot:

All your important files are encrypted!

Your files have been encrypted using RSA2048 algorithm with unique public-key stored on your PC.
There is only one way to get your files back: contact with us, pay, and get decryptor software.
We accept Bitcoins, and other cryptocurrencies, you can find exchanges in bestbitcoinexchange.io
You have unique idkey (in a yellow frame), write it in letter when contact with us.
Also you can decrypt 1file for test, its guarantee what we can decrypt your files.

Jokainen salattu tiedosto saa HERMES päätteen. Uhria pyydetään ottamaan yhteyttä rikollisiin pretty040782@gmail.com tao pretty040782@keemail.me osoitteessa. Lunnaan koko on tuntematon, se voi olla 200 – 1500 USD.

Lunnasohjelmatutkijat huomasivat kiinnostavan piirteen, että tämä lunnasohjelma poistuu, jos se he huomaa rekisteriavaimen Venäjän (0x419), Valkovenäjän(423), tai Ukrainan (422) kielikoodin. Siksi me voimme vain ajatella, että Pohjois-Korealaiset hakkerit tekevät yhteistyötä Venäjää puhuvien maiden kanssa.

Alkuperäinen Hermes 2.1 lunnasohjelma, joka tunnetaan nimellä Hermes, on jo purettu. Turvallisuusasiantuntijat ovat luoneet ilmaisen Hermes salauksen poistajan. Vaikka siinä on joitain muutoksia, niin kaikkien kolmen version peruskäytös on sama, joten sinun kannattaa kokeilla ilmaista salauksen poistajaa.

Jos salauksen poista ei avaa tiedostojasi, niin paras mahdollisuus on poistaa Hermes 2.1 kokonaan ja palauttaa tiedostosi varmuuskopioista tai vaihtoehtoisilla tavoilla.

Jos olet yksi heistä, jotka eivät tiedä miten suojata itseäsi tältä tartunnalta, niin sinulla on vain yksi vaihtoehto – asentaa maineikas antivirus ja pitää se päivitettynä. Pysy myös erossa kyseenalaisista sähköposteista ja ÄLÄ avaa niiden liitteitä.

Lunnasohjelman tavalliset hyökkäysvektorit

Rikolliset käyttävät valitettavasti useita levitystapoja, jotta he voivat levittää lunnasohjelman, niin useaan tietokoneeseen kuin mahdollista. Tämän tuloksena voi olla vaikeaa tunnistaa potentiaalisen verkkouhan lähde. Me koetamme kasvattaa tietoisuutta ja auttaa tavallisia tietokoneen käyttäjiä suojaamaan järjestelmiään.

Nämä ovat suosituimmat lunnasohjelman hyökkäystavat:

• Exploit kitit;
• Roskapostikampanjat;
• Tekaistut ohjelman päivitykset tai kräkit;
• Troijalaiset hevoset.

Kun tiedetään käynnistystiedoston nimi, niin on luultavaa, että haittaohjelma leviää pelisivuilla tällä hetkellä. Jos arvostat tietojasi, sinun kannattaa välttää näitä sivuja. On yleisessä tiedossa, että piraattiohjelmat, keygenit ja kräkit ovat suosittuja työkaluja, joita haittaohjelman kehittäjät käyttävät hyväkseen.

Jotta voit rajoittaa Hermes 2.1 kaappauksen mahdollisuutta, asenna muutama turvasovellus. Varo myös roskaposteja, erityisesti jos ne tulevat viralliselta instituutiolta. Tutki viestin sisältä ja kysy instituutiolta vahvistus vastaanotetusta liitteestä.

Ohjeita Hermes 2.1 viruksen poistamiseen

Lunnasohjelman tyyppiset virukset ovat todella vaarallisia ja tuhoisia tietokoneuhkia. Jopa IT-asiantuntijoilla on vaikeuksia poistaa Hermes 2.1 saastuneelta järjestelmältä. Tavallisten tietokoneen käyttäjien ei pidä koettaa haittaohjelman poistoa ilman apua.

Voit poistaa Hermes 2.1 viruksen tehokkaalla haittaohjelman poistajalla. Tämä on monimutkainen virus, joka voi estää järjestelmäsi ja estää sinua asentamasta antivirus ohjelmaa. Sinun pitää ottaa lunnasohjelma pois käytöstä käynnistämällä tietokoneesi Vikasietotilaan.

Ohjeet sen tekemiseen ovat tämän artikkelin lopussa. Myöhemmin sinun pitää päästää käsiksi työkaluun ja suorittaa Hermes 2.1 poisto. Vasta täydellisen poiston jälkeen voit palauttaa tiedostot. DieViren.de ehdottavat kokeilemaan ilmaista Hermes salauksen poistajaa, joka suunniteltiin alkuperäiselle versiolle.