Vakavuus luokka:  
  (97/100)

Hermes 2.1 lunnasohjelma virus. Kuinka poistaa? (Poisto-ohjeet)

kirjoittanut Gabriel E. Hall - - | Tyyppi: Lunnasohjelma

Hermes 2.1 on lunnasohjelma virus, joka nyt hyökkää Etelä-Korealaisia kohden zero-day exploitilla

The ransom note by Hermes 2.1 ransomware

Hermes 2.1 on lunnasohjelman tyyppinen verkkouhka, joka kuuluu samaan perheeseen kuin Hermes lunnasohjelma sekä Hermes 2.0. Se huomattiin vuoden 2017 lopussa, kun verkkoturvallisuuden asiantuntijat huomasivat sen hyökkäävän englantia puhuviin käyttäjiin. Maaliskuussa 2018, uusi Hermes 2.1 lunnasohjelman versio huomattiin. Tällä hetkellä se kohdistaa Etelä-Korealaisia PC käyttäjiä GreenFlash Sundown Flash Player exploit kitin avulla, joka antaa levittää Hermes 2.1 virusta Flash zero-day avulla. Uusi versio laukaistaan svchosta.exe tiedostosta ja se salaa tiedostot RSA julkisella avaimella sekä AES salauksella. Jokainen salattu tiedosto saa .HERMES tiedoston päätteen, kun aikaisemmat versiot saivat .hrm päätteen. 

Nimi Hermes 2.1
Tyyppi Lunnasohjelma
Versiot Hermes, Hermes 2.0
Vaaran taso Korkea. Aiheuttaa muokkauksia Windows rekisteriin, saastuttaa Windows käynnistyksen, luo useita tiedostoja ja salaa henkilökohtaiset tiedostot
Tunnistuspäivä Lokakuu 2017. Viimeisin versio – Maaliskuu 2018.
Tiedoston päätteet .HERMES, .hrm
Salaus RSA ja AES
Kohde Englantia puhuvat käyttäjät sekä Etelä-Korealaiset PC käyttäjät
Lunnasviesti DECRYPT_INFO.txt sekä DECRYPT_INFORMATION.html
Levitys Exploit kitit, roskapostikampanjat, tekaistut ohjelman päivitykset tai kräkit, Troijalaiset hevoset

Toinen tämän vaarallisen verkkouhan ominaisuuksista on sen kyky poistaa shadow volume kopiot. Ihmiset voivat poistaa salauksen vain alkuperäisellä salauksen poistajalla tai varmuuskopioilla.

Erot vanhan ja uudemman Hermes 2.1 version välillä on uusi tiedoston pääte saastuneen materiaalin lopussa. Aikaisempien analyysien mukaan, sen tapana oli jättää HERMES tiedoston pääte ja nyt se käyttää useita satunnaisia merkkejä ja symboleja. 

Kuten mainitsimme yläpuolella, uusi Hermes 2.1 virus versio ei käytä .HRM laajennusta enää. Tämä ei kuitenkaan ole päivitetyn version tärkein ominaisuus. Viimeisin versio käyttää AES-256 salausta, joka on salattu RSA-2048 salauksella. Tämä tekee IT-ammattilaisten työstä vaikeaa, kun he koettavat luoda salauksen poistoavainta, koska jokaisessa salatussa tiedostossa on erilainen koodaus. 

Vaikka Hermes 2.1 muut ominaisuudet pysyvät samana — sen kehittäjät yhä asettavat mp3 koodin Vivaldin Kevät sävellyksestä. Tämän lisäksi rikolliset mainitsevat Wichita State University koulun, joka sijaitsee Kansas cityssä ja jättävät kaksi sähköpostia, joista voimme miettiä ovat nämä tiedot jätetty vahingossa vai ei:

  1. BM-2cTSTDcCD5cNqQ5Ugx4US7momFtBynwdgJ@bitmessage.ch; 
  2. BM2cT72URgs1AWGV6Wy6KBu2yuj3ychN5vxC@bitmessage.ch

Onneksi Hermes 2.1 haittaohjelma ja sen uusin versio voidaan tunnistaa useimmilla turvaohjelmilla, nimellä Trojan[Ransom]/Win32.AGeneric, Ransom.Hermes. Trojan.GenericKD.6154143, jne. Se toimii tiedostojen ClrgraphicsOperation ja My video.exe kautta. 

Haittaohjelma voi piiloutua vaihtoehtoisen tiedoston alle. Jos huomasit tiedostojen oleva lukittuja ja merkittyjä .HRM päätteellä tai saat DECRYPT_INFO.txt, sekä DECRYPT_INFORMATION.html tiedoston, on aika suorittaa Hermes 2.1 poisto.

Voit poistaa Hermes 2.1 viruksen ammattilaisten turvaohjelmalla. Me suosittelemme käyttämään Reimage ohjelmaa, mutta ensin sinun pitää estää virusta lukitsemasta järjestelmääsi ja saada mahdollisuus ladata antivirus. Voit oppia, miten se tehdään, tämän artikkelin lopussa olevan ohjeen avulla.

Hermes 2.1 crypto-malware ID

Viimeisin Hermes 2.1 versio leviää Office dokumenttien kautta, joissa on Flash exploit: Etelä-Korealaiset hyökkäyksen kohteena

South Korean Emergency Response Team (KrCERT) teki julkaisun Hermes 2.1 lunnasohjelma viruksesta, joka tällä hetkellä hyökkää Etelä-Korealaisiin Flash Player 28.0.0.137 haavoittuvuuden kautta edistyneen GreenFlash Sundown exploit kitin avulla. Samaa exploit kittiä käytti Lazarus, ryhmä Pohjois-Korealaisia hakkereita, jotka aikaisemmin hyökkäsivät Taiwanilaiseen pankkiin.

Lunnasohjelman kuormaa levitetään vaarallisen Word Office dokumentin avulla. Useita huijauskampanjoita on aloitettu kuorman levittämiseksi laajalle. Ensimmäinen hyökkäys tehtiin saastuneen Korealaisen sivun kautta Helmikuun 2018 lopussa. 

Kun Hermes 2.1 lunnasohjelman kuorma laukaistaan, se luo svchosta.exe tiedoston %TEMP% kansiossa. Käynnistyksen aikana uhrilta pyydetään lupa skriptin käynnistämiseen. Vaikka lupaa ei anneta, niin virus aloittaa salauksen. 

Hermes 2.1 ransomware version

Salauksen aikana se luo tiedoston UNIQUE_ID_DO_NOT_REMOVE, jossa on yksityinen RSA avain sekä lunnasviesti nimeltä DECRYPT_INFORMATION.html, se on C:\Users\Public\ kansiossa. Lunnasviestissä on seuraavat tiedot:

All your important files are encrypted!

Your files have been encrypted using RSA2048 algorithm with unique public-key stored on your PC. 
There is only one way to get your files back: contact with us, pay, and get decryptor software.
We accept Bitcoins, and other cryptocurrencies, you can find exchanges in bestbitcoinexchange.io
You have unique idkey (in a yellow frame), write it in letter when contact with us.
Also you can decrypt 1file for test, its guarantee what we can decrypt your files. 

Jokainen salattu tiedosto saa HERMES päätteen. Uhria pyydetään ottamaan yhteyttä rikollisiin pretty040782@gmail.com tao pretty040782@keemail.me osoitteessa. Lunnaan koko on tuntematon, se voi olla 200 – 1500 USD. 

Lunnasohjelmatutkijat huomasivat kiinnostavan piirteen, että tämä lunnasohjelma poistuu, jos se he huomaa rekisteriavaimen Venäjän (0x419), Valkovenäjän(423), tai Ukrainan (422) kielikoodin. Siksi me voimme vain ajatella, että Pohjois-Korealaiset hakkerit tekevät yhteistyötä Venäjää puhuvien maiden kanssa. 

Alkuperäinen Hermes 2.1 lunnasohjelma, joka tunnetaan nimellä Hermes, on jo purettu. Turvallisuusasiantuntijat ovat luoneet ilmaisen Hermes salauksen poistajan. Vaikka siinä on joitain muutoksia, niin kaikkien kolmen version peruskäytös on sama, joten sinun kannattaa kokeilla ilmaista salauksen poistajaa. 

Hermes 2.1 virus related files

Jos salauksen poista ei avaa tiedostojasi, niin paras mahdollisuus on poistaa Hermes 2.1 kokonaan ja palauttaa tiedostosi varmuuskopioista tai vaihtoehtoisilla tavoilla. 

Jos olet yksi heistä, jotka eivät tiedä miten suojata itseäsi tältä tartunnalta, niin sinulla on vain yksi vaihtoehto – asentaa maineikas antivirus ja pitää se päivitettynä. Pysy myös erossa kyseenalaisista sähköposteista ja ÄLÄ avaa niiden liitteitä. 

Lunnasohjelman tavalliset hyökkäysvektorit

Rikolliset käyttävät valitettavasti useita levitystapoja, jotta he voivat levittää lunnasohjelman, niin useaan tietokoneeseen kuin mahdollista. Tämän tuloksena voi olla vaikeaa tunnistaa potentiaalisen verkkouhan lähde. Me koetamme kasvattaa tietoisuutta ja auttaa tavallisia tietokoneen käyttäjiä suojaamaan järjestelmiään.

Nämä ovat suosituimmat lunnasohjelman hyökkäystavat:

  • Exploit kitit;
  • Roskapostikampanjat;
  • Tekaistut ohjelman päivitykset tai kräkit;
  • Troijalaiset hevoset.

Kun tiedetään käynnistystiedoston nimi, niin on luultavaa, että haittaohjelma leviää pelisivuilla tällä hetkellä. Jos arvostat tietojasi, sinun kannattaa välttää näitä sivuja. On yleisessä tiedossa, että piraattiohjelmat, keygenit ja kräkit ovat suosittuja työkaluja, joita haittaohjelman kehittäjät käyttävät hyväkseen.

Jotta voit rajoittaa Hermes 2.1 kaappauksen mahdollisuutta, asenna muutama turvasovellus. Varo myös roskaposteja, erityisesti jos ne tulevat viralliselta instituutiolta. Tutki viestin sisältä ja kysy instituutiolta vahvistus vastaanotetusta liitteestä. 

Ohjeita Hermes 2.1 viruksen poistamiseen

Lunnasohjelman tyyppiset virukset ovat todella vaarallisia ja tuhoisia tietokoneuhkia. Jopa IT-asiantuntijoilla on vaikeuksia poistaa Hermes 2.1 saastuneelta järjestelmältä. Tavallisten tietokoneen käyttäjien ei pidä koettaa haittaohjelman poistoa ilman apua.

Voit poistaa Hermes 2.1 viruksen tehokkaalla haittaohjelman poistajalla. Tämä on monimutkainen virus, joka voi estää järjestelmäsi ja estää sinua asentamasta antivirus ohjelmaa. Sinun pitää ottaa lunnasohjelma pois käytöstä käynnistämällä tietokoneesi Vikasietotilaan. 

Ohjeet sen tekemiseen ovat tämän artikkelin lopussa. Myöhemmin sinun pitää päästää käsiksi työkaluun ja suorittaa Hermes 2.1 poisto. Vasta täydellisen poiston jälkeen voit palauttaa tiedostot. DieViren.de ehdottavat kokeilemaan ilmaista Hermes salauksen poistajaa, joka suunniteltiin alkuperäiselle versiolle.

Me voimme olla yhteistyössä minkä tahansa sivustolla suosittelemamme tuotteen kanssa. Täydellinen selitys Käyttöehdoissamme Lataamalla minkä tahansa tarjotuista Anti-Spyware ohjelmista poistamaan Hermes 2.1 lunnasohjelma virus suostut meidän yksityistyys käytäntöihimme ja käyttösopimukseemme.
tee se nyt!
Lataa
Reimage (poistaja) tyytyväisyys
Taattu
Lataa
Reimage (poistaja) tyytyväisyys
Taattu
Yhteensopiva Microsoft Windows käyttöjärjestelmän kanssa Yhteensopiva OS X käyttöjärjestelmän kanssa
Mitä tehdä jos epäonnistun
Jos et onnistunut poistossa ohjelmalla Reimage, lähetä kysymys tukitiimille ja anna niin paljon tietoja kuin mahdollista.
Reimage on suositeltu ohjelma Hermes 2.1 lunnasohjelma virus poistamiseen. Ilmainen skanneri tarkistaa PC:si tartuntojen varalta. Jos sinun pitää poistaa haittaohjelmia niin sinun pitää ostaa Reimage haittaohjelman poistajan lisensoitu versio.
Lisätietoja tästä ohjelmasta voita löytää Reimage arvostelusta.
Lehti mainintoja tuotteesta Reimage
Vaihtoehtoiset Ohjelmat
Plumbytes Anti-Malware
Me olemme testanneen Plumbytes Anti-Malware:n tehokkuuden Hermes 2.1 lunnasohjelma virus poistamisessa (2018-03-19)
Malwarebytes
Me olemme testanneen Malwarebytes:n tehokkuuden Hermes 2.1 lunnasohjelma virus poistamisessa (2018-03-19)
Hitman Pro
Me olemme testanneen Hitman Pro:n tehokkuuden Hermes 2.1 lunnasohjelma virus poistamisessa (2018-03-19)
Malwarebytes
Me olemme testanneen Malwarebytes:n tehokkuuden Hermes 2.1 lunnasohjelma virus poistamisessa (2018-03-19)

Manuaalinen Hermes 2.1 viruksen Poisto-ohje:

Poista Hermes 2.1 käyttäen Safe Mode with Networking

On tärkeää ottaa lunnasohjelma pois käytöstä ennen antivirus ohjelman asennusta. Jos et tee tätä, niin estää sinua lataamasta mitään materiaalia, jota voidaan käyttää virusta vastaan. Opettele käynnistämään järjestelmäsi Vikasietotilaan Verkolla:

  • Askel 1: Käynnistä tietokoneesi uudelleen Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klikkaa Start Shutdown Restart OK.
    2. Kun tietokoneesi aktivoituu niin ala painamaan F8 toistuvasti kunnes näet Advanced Boot Options ikkunan.
    3. Valitse Safe Mode with Networking listalta Valitse 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Paina Power painiketta Windows kirjautumisruudussa. Nyt paina ja pidä Shift mikä on näppäimistössäsi ja klikkaa Restart.
    2. Valitse sitten Troubleshoot Advanced options Startup Settings ja paina lopuksi Restart
    3. Kun tietokoneesi aktivoituu, valitse Enable Safe Mode with Networking, Startup Settings ikkunassa. Valitse 'Enable Safe Mode with Networking'
  • Askel 2: Poisto Hermes 2.1

    Kirjaudu saastuneelle tilillesi ja käynistä selain. Lataa Reimage tai jokin muu haittaohjelman poistaja. Päivitä se ja suorita järjestelmän täysi tarkistus ja poista lunnasohjelmalle kuuluvat tiedostot ja suorita Hermes 2.1 poisto loppuun.

Jos lunnasohjelmasi estää Safe Mode with Networking toiminnan niin koeta seuraavaa tapaa.

Poista Hermes 2.1 käyttäen System Restore

Tässä on toinen tapa, joka voi auttaa sinua poistamaan lunnasohjelman järjestelmästä:

  • Askel 1: Käynnistä tietokoneesi uudelleen Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klikkaa Start Shutdown Restart OK.
    2. Kun tietokoneesi aktivoituu niin ala painamaan F8 toistuvasti kunnes näet Advanced Boot Options ikkunan.
    3. Valitse Command Prompt listalta Valitse 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Paina Power painiketta Windows kirjautumisruudussa. Nyt paina ja pidä Shift mikä on näppäimistössäsi ja klikkaa Restart.
    2. Valitse sitten Troubleshoot Advanced options Startup Settings ja paina lopuksi Restart
    3. Kun tietokoneesi aktivoituu, valitse Enable Safe Mode with Command Prompt, Startup Settings ikkunassa. Valitse 'Enable Safe Mode with Command Prompt'
  • Askel 2: Palauta järjestelmän tiedostot ja asetukset
    1. Kun Command Prompt ikkuna ilmaantuu, kirjoita cd restore ja klikkaa Enter. Kirjoita 'cd restore' ilman lainausmerkkejä ja paina 'Enter'
    2. Kirjoita sitten rstrui.exe ja paina Enter uudelleen.. Kirjoita 'rstrui.exe' ilman lainausmerkkejä ja paina 'Enter'
    3. Kun uusi ikkuna avautuu, klikkaa Next ja valitse haluamasi palautuspiste joka on ennen Hermes 2.1 pääsyä koneelle. Klikkaa sen jälkeen Next. Kun 'System Restore' ikkuna ilmaantuu, valitse 'Next' Valitse palautuspiste ja klikkaa 'Next'
    4. Klikkaa nyt Yes aloittaaksesi järjestelmän palautuksen Klikkaa 'Yes' ja aloita järjestelmän palautus
    Kun olet palauttanut järjestelmäsi aikaisempaan päivämäärään, lataa ja tarkista tietokoneesi Reimage ohjelmalla ja varmista, että Hermes 2.1 on poistettu onnistuneesti

Bonus: Palauta tiedostosi

Ohjeiden jotka ovat yllä, pitäisi auttaa sinua poistamaan Hermes 2.1 tietokoneeltasi. Salattujen tiedostojen palauttamiseksi, me suosittelemme käyttämään yksityiskohtaisia ohjeita jotka virukset.fi turvallisuusasiantuntijat ovat luoneet

Jos tiedostosi ovat joutuneet Hermes 2.1 salaamaksi niin voit käyttää useita tapoja niiden palauttamiseksi

Data Recovery Pro voi olla hyödyllinen

Alustavasti asiantuntijat kehittivät tämän työkalun auttamaan käyttäjiä, jos heidän tiedostonsa ovat vahingoittuneet järjestelmän kaatumisen yhteydessä, tai jos he poistivat ne vahingossa. Joissain tapauksissa se auttaa myös lunnasohjelman uhreja.

Asiantuntijat suosittelevat kokeilemaan Hermes 2.1 Salauksen poistajaa

Koska Hermes 2.1 on sukua alkuperäiselle Hermes ohjelmalle, voit kokeilla salauksen poistajaa täällä

Lopuksi, sinun kannattaa aina ajatella suojautumista krypto-lunnasohjelmia vastaan. Voidaksesi suojella tietokonettasi Hermes 2.1 ja muita lunnasohjelmia vastaan, käytä maineikasta haittaohjelman poistajaa, kuten Reimage, Malwarebytes Malwarebytes tai Plumbytes Anti-MalwareNorton Internet Security.

Kirjoittajasta

Gabriel E. Hall
Gabriel E. Hall - Intohimoinen virustutkija

Jos tämä ilmainen poisto-ohje auttoi sinua ja olet tyytyväinen palveluumme, ole hyvä ja harkitse lahjoituksen tekemistä jotta voimme pitää tämän palvelun elossa. Jopa kaikkein pienin summa otetaan kiitollisuudella vastaan

Ota yhteyttä Gabriel E. Hall
Tietoa yrityksestä Esolutions

Lähde: https://www.2-spyware.com/remove-hermes-2-1-ransomware-virus.html

Poisto-ohjeet muilla kielillä