Sigma lunnasohjelma virus. Kuinka poistaa? (Poisto-ohjeet)

Sigma – lunnasohjelma joka jatkaa leviämistään ja tiedostojen salausta 2018

Sigma on lunnasohjelman tyyppinen verkkouhka, joka käyttää RSA-2048 salausta ja lisää satunnaiset 4-merkkiä kohdetiedoston jälkeen. Tietojen salauksen jälkeen, se pudottaa ReadMe.html tai ReadMe.txt tiedoston, joka ohjaa lunnaiden maksusivulle. Yleisin tapa saada tämä haittaohjelma, on avata vaarallinen sähköpostin liite. Turvallisuusasiantuntijat varoittavat kuitenkin, että uusi haittapostikampanja virukselle huomattiin Maaliskuussa 2018.

Tällä hetkellä Sigma viruksella on alhainen tunnistustaso. Se leviää naamioituneena Automated Universal MultiBoot UFD Creation Tool.exe tiedostona tai Guid.exe.bin. Se voidaan tunnistaa Trojan.Agent.CPOW,, Trojan.Ransom.Shade!1.A988 (CLASSIC), jne. Aikaisempi esimerkki tunnistetaan vain yhden turvatyökalun toimesta, nimellä Trojan.Generic.bcnxb tiedosto. Kun katsotaan aikaisempaa troijalaisen nimeä ja lunnasviestin suunnittelua, niin se voi olla sukua Shade haittaohjelmalle.

Tämän lisäksi, virus lukee tietokoneen tekniset tiedot, erityisesti RDP protokollat. Se luo myös väärennetyt järjestelmänprosessit naamioidakseen aktiviteettinsa. On kiinnostavaa, että siinä on anti-sandboxing ominaisuus. Se koettaa välttää tunnistuksensa. Jos saastutettu järjestelmä on luonnollinen, ei virtuaalinen laite, niin haittaohjelma yhdistää http://ip.api/json.txt ja lähettää tiedot uhrin sijainnista. Siksi Sigma poisto on tarpeen, jotta voidaan korjata vahingot laitteeseen.

Lunnasohjelman päätehtävä on kuitenkin salata tiedostot saastuneella tietokoneella. Prosessin aikana se asettaa ReadMe.html tiedoston, joka ohjaa käyttäjät online maksusivulle. Se kertoo käyttäjälle lyhyesti salatuista tiedostoista. Se neuvoo heitä lataamaan Tor Selaimen ja menemään määrätylle .onion sivulle. Jälkimmäinen esittelee sivun nimeltä “Sigma Ransomware” ja pyytää antamaan laitteen GUID. Siinä on myös linkki ladata GUID Helper.

Salauksen jälkeen, haittaohjelma muuttaa myös työpöydän taustakuvan. Viesti kehottaa käyttäjää etsimään “Readme” tiedoston tai vierailemaan mainitulla .onion linkillä ja antamaan henkilökohtaisen ID-numeron, joka lunnasviestissä on. Työpöydälle Sigma lunnasohjelma jättää myös GUID.exe ja GUID.txt tiedostot.

Kun puhutaan maksusivusta, se sisältää useita sivuja. Yhdessä niistä kerrotaan tarkka aika, koska tiedostosi salattiin. Se vaatii $1000 salauksen poisto-ohjelmasta. Jos maksua ei tehdä 7-päivän kuluessa, lunnaat tullaan tuplaamaan. Samalla .onion sivulla, uhria kehotetaan luomaan Bitcoin lompakko.

Sigma lunnasohjelman analyytikot paljastavat, että tavallisista lunnasohjelmista poiketen, tämä lunnasohjelma ei anna sähköpostia, vaan ehdottaa käyttämään Xamp tiliä. Siinä on myös Pidgin Installation Guide linkki. Siksi he ottavat yhteyttä rikollisiin Sigmaxxx@jabb.im osoitteessa.

Vaatimusten noudattamisen sijaan, poista Sigma lunnasohjelma. Voit tehdä sen Reimage tai Plumbytes Anti-MalwareNorton Internet Security ohjelmalla. Sinun pitää käynnistää tietokoneesi Vikasietotilaan. Lisäohjeet ovat alla. On valitettavaa, että Sigma lunnasohjelman salauksen poistajaa ei vielä ole saatavilla. Voit kuitenkin kokeilla vaihtoehtoisia palautustapoja, jotka ovat myös artikkelin alla.

⇦⇨

Kuva 1 yht. 10

Tekaistujen Craigslist sähköpostien ilmoitettiin levittävän Sigma lunnasohjelmaa Maaliskuussa 2018

Sigma viruksen kirjoittajat laukaisivat uuden haittapostikampanjan, jolla he levittävät lunnasohjelmaa. Tällä kertaa rikolliset lähettävät tekaistua Craiglist sähköpostia, jossa on salasanasuojattu Word tai RTF dokumentti. Näissä dokumenteissa on tietenkin lunnasohjelman käynnistystiedosto. 

Käyttäjät, jotka avaavat saastuneen sähköpostin, niin heiltä pyydetään salasana dokumentin avaamiseen. Kun se on tehty, niin vaarallinen VBA skripti laukaistaan. Heti kun ”Enable Content Button” painiketta on painettu, niin RAR tiedosto ladataan ja puretaan %Temp% kansioon. Tämä kansio sisältää svchost.exe tiedoston, joka käynnistää lunnasohjelman.

Tekaistussa skannatussa tiedostossa on haittaohjelman käynnistystiedosto

Vaikka haittaohjelma näyttää tarkasti suunnitellun GUI ja maksusivut, sen levityskampanja eroaa aika paljon muista lunnasohjelmista. Sigma haittaohjelmaa levitetään roskapostilla “Scan_[number].doc” tiedostona.

Sähköposti kertoo lyhyesti, että vastaanottajaa laskutetaan [summa] heidän henkilökohtaiselta Mastercard tililtä heti. Jotta se voidaan välttää, heidän pitää lukea liite. Siinä on myös salasana. Salasanan antaminen aktivoi Sigma kaappauksen. Vaikka haittaohjelma on kirjoitettu Englanniksi, niin se on huomattu Kreikkalaisilla sivuilla.

Roskapostien lisäksi, käyttäjien tulee olla varuillaan sovelluksia ladatessaan. Kiinnitä huomiota mistä lähteestä ladataan, ja onko se sertifioitu. Kiinnitä huomiota asennusvelhon askeleisiin ja poista valinnaiset ja tarpeettomat lisäosat. Nyt voimme siirtyä Sigma lunnasohjelman korjaukseen.

Ohjeet Sigma lunnasohjelman poistamiseen

Sigma poisto vaaditaan tietokoneen puhdistamiseen ja sen normaaliin toimintaan. Viruksen poisto ei valitettavasti auta palauttamaan saastuneita tiedostoja. Voit kuitenkin kokeilla kolmansien osapuolien ohjelmia tai varmuuskopioita, kun tietokoneesi on vapaa lunnasohjelmasta.

Voit tehdä sen haittaohjelman poistajalla, kuten Reimage, Malwarebytes Malwarebytes tai Plumbytes Anti-MalwareNorton Internet Security. Jos tietokoneesi ei voi laukaista ohjelmaa Sigma viruksen poistamiseksi, suorita Järjestelmän Palautus tai käynnistä tietokoneesi Vikasietotilaan. Vasta haittaohjelman poiston jälkeen voit suorittaa tiedostojen palautuksen.

Reimage on suositeltu ohjelma Sigma lunnasohjelma virus poistamiseen. Ilmainen skanneri tarkistaa PC:si tartuntojen varalta. Jos sinun pitää poistaa haittaohjelmia niin sinun pitää ostaa Reimage haittaohjelman poistajan lisensoitu versio.
Lisätietoja tästä ohjelmasta voita löytää Reimage arvostelusta.