Sigma lunnasohjelma virus. Kuinka poistaa? (Poisto-ohjeet)
Sigma – lunnasohjelma joka jatkaa leviämistään ja tiedostojen salausta 2018
Sigma on lunnasohjelman tyyppinen verkkouhka, joka käyttää RSA-2048 salausta ja lisää satunnaiset 4-merkkiä kohdetiedoston jälkeen. Tietojen salauksen jälkeen, se pudottaa ReadMe.html tai ReadMe.txt tiedoston, joka ohjaa lunnaiden maksusivulle. Yleisin tapa saada tämä haittaohjelma, on avata vaarallinen sähköpostin liite. Turvallisuusasiantuntijat varoittavat kuitenkin, että uusi haittapostikampanja virukselle huomattiin Maaliskuussa 2018.
| Yhteenveto | |
| Nimi | Sigma |
| Tyyppi | Lunnasohjelma |
| AV tunnistusnimet | Trojan.Agent.CPOW, Trojan.Ransom.Shade!1.A988 (CLASSIC), Trojan.Generic.bcnxb jne. |
| Vaaran Taso | Korkea. Lunnasohjelma saastuttaa tärkeät Windows prosessit, asentaa vaarallisia komponentteja ja salaa tiedostoja. |
| Oireet | Kyvyttömyys avata ja käyttää tiedostoja, tuntemattoman tiedoston päätteen takia. |
| Tiedoston pääte | Lisää satunnaisen 4-merkkisen tiedoston päätteen. |
| Lunnasviesti | ReadMe.html, ReadMe.txt |
| Lunnasohjelmaan liittyvät tiedostot | GUID.exe, GUID.txt, Automated Universal MultiBoot UFD Creation Tool.exe, |
Tällä hetkellä Sigma viruksella on alhainen tunnistustaso. Se leviää naamioituneena Automated Universal MultiBoot UFD Creation Tool.exe tiedostona tai Guid.exe.bin. Se voidaan tunnistaa Trojan.Agent.CPOW,, Trojan.Ransom.Shade!1.A988 (CLASSIC), jne. Aikaisempi esimerkki tunnistetaan vain yhden turvatyökalun toimesta, nimellä Trojan.Generic.bcnxb tiedosto. Kun katsotaan aikaisempaa troijalaisen nimeä ja lunnasviestin suunnittelua, niin se voi olla sukua Shade haittaohjelmalle.
Tämän lisäksi, virus lukee tietokoneen tekniset tiedot, erityisesti RDP protokollat. Se luo myös väärennetyt järjestelmänprosessit naamioidakseen aktiviteettinsa. On kiinnostavaa, että siinä on anti-sandboxing ominaisuus. Se koettaa välttää tunnistuksensa. Jos saastutettu järjestelmä on luonnollinen, ei virtuaalinen laite, niin haittaohjelma yhdistää http://ip.api/json.txt ja lähettää tiedot uhrin sijainnista. Siksi Sigma poisto on tarpeen, jotta voidaan korjata vahingot laitteeseen.
Lunnasohjelman päätehtävä on kuitenkin salata tiedostot saastuneella tietokoneella. Prosessin aikana se asettaa ReadMe.html tiedoston, joka ohjaa käyttäjät online maksusivulle. Se kertoo käyttäjälle lyhyesti salatuista tiedostoista. Se neuvoo heitä lataamaan Tor Selaimen ja menemään määrätylle .onion sivulle. Jälkimmäinen esittelee sivun nimeltä “Sigma Ransomware” ja pyytää antamaan laitteen GUID. Siinä on myös linkki ladata GUID Helper.
Salauksen jälkeen, haittaohjelma muuttaa myös työpöydän taustakuvan. Viesti kehottaa käyttäjää etsimään “Readme” tiedoston tai vierailemaan mainitulla .onion linkillä ja antamaan henkilökohtaisen ID-numeron, joka lunnasviestissä on. Työpöydälle Sigma lunnasohjelma jättää myös GUID.exe ja GUID.txt tiedostot.
Kun puhutaan maksusivusta, se sisältää useita sivuja. Yhdessä niistä kerrotaan tarkka aika, koska tiedostosi salattiin. Se vaatii $1000 salauksen poisto-ohjelmasta. Jos maksua ei tehdä 7-päivän kuluessa, lunnaat tullaan tuplaamaan. Samalla .onion sivulla, uhria kehotetaan luomaan Bitcoin lompakko.
Sigma lunnasohjelman analyytikot paljastavat, että tavallisista lunnasohjelmista poiketen, tämä lunnasohjelma ei anna sähköpostia, vaan ehdottaa käyttämään Xamp tiliä. Siinä on myös Pidgin Installation Guide linkki. Siksi he ottavat yhteyttä rikollisiin Sigmaxxx@jabb.im osoitteessa.
Vaatimusten noudattamisen sijaan, poista Sigma lunnasohjelma. Voit tehdä sen Reimage tai Malwarebytes Anti Malware ohjelmalla. Sinun pitää käynnistää tietokoneesi Vikasietotilaan. Lisäohjeet ovat alla. On valitettavaa, että Sigma lunnasohjelman salauksen poistajaa ei vielä ole saatavilla. Voit kuitenkin kokeilla vaihtoehtoisia palautustapoja, jotka ovat myös artikkelin alla.
Valitse 'Safe Mode with Networking'
Valitse 'Enable Safe Mode with Networking'
Valitse 'Safe Mode with Command Prompt'
Valitse 'Enable Safe Mode with Command Prompt'
Kirjoita 'cd restore' ilman lainausmerkkejä ja paina 'Enter'
Kirjoita 'rstrui.exe' ilman lainausmerkkejä ja paina 'Enter'
Kun 'System Restore' ikkuna ilmaantuu, valitse 'Next'
Valitse palautuspiste ja klikkaa 'Next'
Klikkaa 'Yes' ja aloita järjestelmän palautus
Tekaistujen Craigslist sähköpostien ilmoitettiin levittävän Sigma lunnasohjelmaa Maaliskuussa 2018
Sigma viruksen kirjoittajat laukaisivat uuden haittapostikampanjan, jolla he levittävät lunnasohjelmaa. Tällä kertaa rikolliset lähettävät tekaistua Craiglist sähköpostia, jossa on salasanasuojattu Word tai RTF dokumentti. Näissä dokumenteissa on tietenkin lunnasohjelman käynnistystiedosto.
Käyttäjät, jotka avaavat saastuneen sähköpostin, niin heiltä pyydetään salasana dokumentin avaamiseen. Kun se on tehty, niin vaarallinen VBA skripti laukaistaan. Heti kun ”Enable Content Button” painiketta on painettu, niin RAR tiedosto ladataan ja puretaan %Temp% kansioon. Tämä kansio sisältää svchost.exe tiedoston, joka käynnistää lunnasohjelman.
Tekaistussa skannatussa tiedostossa on haittaohjelman käynnistystiedosto
Vaikka haittaohjelma näyttää tarkasti suunnitellun GUI ja maksusivut, sen levityskampanja eroaa aika paljon muista lunnasohjelmista. Sigma haittaohjelmaa levitetään roskapostilla “Scan_[number].doc” tiedostona.
Sähköposti kertoo lyhyesti, että vastaanottajaa laskutetaan [summa] heidän henkilökohtaiselta Mastercard tililtä heti. Jotta se voidaan välttää, heidän pitää lukea liite. Siinä on myös salasana. Salasanan antaminen aktivoi Sigma kaappauksen. Vaikka haittaohjelma on kirjoitettu Englanniksi, niin se on huomattu Kreikkalaisilla sivuilla.
Roskapostien lisäksi, käyttäjien tulee olla varuillaan sovelluksia ladatessaan. Kiinnitä huomiota mistä lähteestä ladataan, ja onko se sertifioitu. Kiinnitä huomiota asennusvelhon askeleisiin ja poista valinnaiset ja tarpeettomat lisäosat. Nyt voimme siirtyä Sigma lunnasohjelman korjaukseen.
Ohjeet Sigma lunnasohjelman poistamiseen
Sigma poisto vaaditaan tietokoneen puhdistamiseen ja sen normaaliin toimintaan. Viruksen poisto ei valitettavasti auta palauttamaan saastuneita tiedostoja. Voit kuitenkin kokeilla kolmansien osapuolien ohjelmia tai varmuuskopioita, kun tietokoneesi on vapaa lunnasohjelmasta.
Voit tehdä sen haittaohjelman poistajalla, kuten Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus tai Malwarebytes Anti Malware. Jos tietokoneesi ei voi laukaista ohjelmaa Sigma viruksen poistamiseksi, suorita Järjestelmän Palautus tai käynnistä tietokoneesi Vikasietotilaan. Vasta haittaohjelman poiston jälkeen voit suorittaa tiedostojen palautuksen.
Manuaalinen Sigma viruksen Poisto-ohje:
Poista Sigma käyttäen Safe Mode with Networking
Seuraa näitä askeleita käynnistääksesi tietokoneen Vikasietotilaan Verkolla:
-
Askel 1: Käynnistä tietokoneesi uudelleen Safe Mode with Networking
Windows 7 / Vista / XP- Klikkaa Start → Shutdown → Restart → OK.
- Kun tietokoneesi aktivoituu niin ala painamaan F8 toistuvasti kunnes näet Advanced Boot Options ikkunan.
-
Valitse Safe Mode with Networking listalta
Windows 10 / Windows 8- Paina Power painiketta Windows kirjautumisruudussa. Nyt paina ja pidä Shift mikä on näppäimistössäsi ja klikkaa Restart.
- Valitse sitten Troubleshoot → Advanced options → Startup Settings ja paina lopuksi Restart
-
Kun tietokoneesi aktivoituu, valitse Enable Safe Mode with Networking, Startup Settings ikkunassa.
-
Askel 2: Poisto Sigma
Kirjaudu saastuneelle tilillesi ja käynistä selain. Lataa Reimage tai jokin muu haittaohjelman poistaja. Päivitä se ja suorita järjestelmän täysi tarkistus ja poista lunnasohjelmalle kuuluvat tiedostot ja suorita Sigma poisto loppuun.
Jos lunnasohjelmasi estää Safe Mode with Networking toiminnan niin koeta seuraavaa tapaa.
Poista Sigma käyttäen System Restore
Tämä tapa auttaa ottamaan Sigma viruksen käytöstä ja suorittamaan automaattisen poiston:
-
Askel 1: Käynnistä tietokoneesi uudelleen Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klikkaa Start → Shutdown → Restart → OK.
- Kun tietokoneesi aktivoituu niin ala painamaan F8 toistuvasti kunnes näet Advanced Boot Options ikkunan.
-
Valitse Command Prompt listalta
Windows 10 / Windows 8- Paina Power painiketta Windows kirjautumisruudussa. Nyt paina ja pidä Shift mikä on näppäimistössäsi ja klikkaa Restart.
- Valitse sitten Troubleshoot → Advanced options → Startup Settings ja paina lopuksi Restart
-
Kun tietokoneesi aktivoituu, valitse Enable Safe Mode with Command Prompt, Startup Settings ikkunassa.
-
Askel 2: Palauta järjestelmän tiedostot ja asetukset
-
Kun Command Prompt ikkuna ilmaantuu, kirjoita cd restore ja klikkaa Enter.
-
Kirjoita sitten rstrui.exe ja paina Enter uudelleen..
-
Kun uusi ikkuna avautuu, klikkaa Next ja valitse haluamasi palautuspiste joka on ennen Sigma pääsyä koneelle. Klikkaa sen jälkeen Next.
-
Klikkaa nyt Yes aloittaaksesi järjestelmän palautuksen
-
Kun Command Prompt ikkuna ilmaantuu, kirjoita cd restore ja klikkaa Enter.
Bonus: Palauta tiedostosi
Ohjeiden jotka ovat yllä, pitäisi auttaa sinua poistamaan Sigma tietokoneeltasi. Salattujen tiedostojen palauttamiseksi, me suosittelemme käyttämään yksityiskohtaisia ohjeita jotka virukset.fi turvallisuusasiantuntijat ovat luoneetJos tiedostosi ovat joutuneet Sigma salaamaksi niin voit käyttää useita tapoja niiden palauttamiseksi
Data Recovery Pro ohjelma voi auttaa tiedostojen palautuksesta
Vaikka tämä ohjelma on suunniteltu tiedostojen palauttamiseksi kaatumisen jälkeen, se voi toimia myös tässä tapauksessa.
- Lataa Data Recovery Pro (https://virukset.fi/download/data-recovery-pro-setup.exe);
- Seuraa askeleita Data Recovery Asetuksissa ja asenna ohjelma tietokoneellesi
- Käynnistä se ja tarkista tietokoneesi tiedostojen varalta jotka Sigma lunnasohjelma on salannut
- Palaute ne
ShadowExplorer edut
Ei ole raportteja, että Sigma lunnasohjelma poistaisi shadow volume copies tiedostot, joten tämä ohjelma voi auttaa sinua palauttamaan joitain tiedostoja näiden kopioiden avulla.
- Lataa Shadow Explorer (http://shadowexplorer.com/);
- Seuraa Shadow Explorer Asennusvelhoa ja asenna sovellus tietokoneellesi;
- Käynnistä ohjelma ja mene pudotusvalikkoon vasemmassa yläkulmassa jotta voit valita salattujen tietojen kovalevyn. Tarkista mitä kansioita siellä on;
- Klikkaa niitä kansiota hiiren oikealla jotka haluat palauttaa ja valitse “Export”. Voit myös valita minne ne haluat palautettavan.
Sigma Decryptor
Tällä hetkellä saatavilla ei ole ilmaista salauksen poistajaa, tälle lunnasohjelmalle. Ei ole suositeltavaa käyttää haittaohjelman kehittäjien tarjoamaa, koska se voi tuoda lisää kaappauksia käyttöjärjestelmään.
Lopuksi, sinun kannattaa aina ajatella suojautumista krypto-lunnasohjelmia vastaan. Voidaksesi suojella tietokonettasi Sigma ja muita lunnasohjelmia vastaan, käytä maineikasta haittaohjelman poistajaa, kuten Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus tai Malwarebytes Anti Malware.