virus ransomware, che appartiene al Crysis varianti utilizzando l'e-mail [email protected] e il suffisso .xtbl come estensioni di file ai file codifica era prima stato scoperto alla fine di agosto, 2016. A differenza di altre varianti di Crysis, che sono nell'ordine delle decine, questo virus ransomware è più diffusa e più pericolosa. Una ragione di ciò è che usa l'AES (Advanced Encryption Standard) algoritmo di crittografia per eseguire una modifica sui file del computer, infettati da essa. Dopodichè, questi file diventano non più in grado di essere aperto, in primo luogo perché diventano alterato. Il virus vuole contattare l'indirizzo di posta elettronica discutibile per ulteriori informazioni, dove i cyber-criminali iniziano una trattativa a pagare una tassa di riscatto pesante e ottenere i file indietro – una nuova forma di estorsione in linea. Se si sono infettati da Savepanda ransomware, assicurarsi di non pagare alcun riscatto per cyber criminali perché c'è un decryptor per questo virus.
Savepanda ransomware in dettaglio
Quando il virus infetta, si inizia subito a rilasciare i file nelle cartelle di sistema del disco rigido primario della macchina infetta. Le seguenti cartelle possono essere stati colpiti:
- %AppData%
- %SystemDrive%
- %Locale%
- %Roaming%
Il virus ransomware è creduto dagli utenti di creare più file nella cartella% di avvio% pure. Per coloro che non conoscono, nulla è sceso in questa cartella viene eseguito automaticamente all'avvio di Windows. I file sono caduto in questa cartella dal virus Savepanda può variare:
- file dannoso che consente di crittografare i dati.
- Testo, .file html e altri simili che possono contenere una richiesta di riscatto con le istruzioni per contattare la e-mail per “assistenza clienti”.
- file di immagine che può essere impostato anche come una carta da parati.
Savepanda ha anche un ampio supporto di tipi di file che infetta e altera. Il virus è principalmente incentrato sulla crittografia, fotografie, archivio, immagini, video e file audio, ma ESG ricercatori di malware hanno scoperto che per cifrare altri tipi di file, come pure, ad esempio:
→ Episodio, .odm, .Risposta, .ODS, .odt, .docm, .docx, .doc, .spec, .mp4, sql, .7da, .m4a, .rar, .wma, .gdb, .imposta, .pkpass, .BC6, .BC7, .avi, .wmv, .csv, .d3dbsp, .chiusura, .essi, .somma, .iBank, .T13, .t12, .QDF, .PKP, .QIC, .bkf, .SIDN, .sono, .mddata, .itl, .ITDB, .icxs, .hvpl, .HPLG, .hkdb, .mdbackup, .syncDB, .gho, .caso, .svg, .carta geografica, .WMO, .itm, .sb, .fos, .mov, .VDF, .ztmp, .sis, .sid, .NCF, .menu, .disposizione, .DMP, .macchia, .ESM, .vcf, .VTF, .dazip, .FPK, .MLX, .kf, .IWD, .VPK, .tor, .PSK, .bordo, .W3X, .fsh, .ntl, .arch00, .lvl, .SNX, .cfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .KDB, .DB0, .dba, .rofl, .hkx, .bar, .UPK, .il, .iwi, .litemod, .risorsa, .fucina, .LTX, .BSA, .apk, .RE4, .sav, .lbf, .SLM, .bik, .EPK, .rgss3a, .poi, .grande, portafoglio, .wotreplay, .xxx, .disc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .testo, .P7C, .p7b, .p12, .pfx, .PEM, .crt, .cielo, .il, .X3F, .SRW, .pef, .ptx, .R3D, .RW2, .RWL, .crudo, .raf, .orf, .nrw, .mrwref, .mef, .proprietà, .kdc, .dcr, .cr2, .CRW, .baia, .SR2, .srf, .ARW, .3fr, .DNG, .JPE, .jpg, .cdr, .INDD, .ai, .eps, .pdf, .pdd, .psd, .DBF, .MDF, .WB2, .rtf, .WPD, .DXG, .xf, .dwg, .pst, .ACCDB, .CIS, .PPTM, .pptx, .ppt, .XLK, .xlsb, .xlsm, .xlsx, .xls, .wps. (fonte: ESG)
Dopo la Hass crittografia stato fatto, il virus ha la capacità di aggiungere che è estensione del file distintivo, per esempio:
→Nuovo Testo Document.txt.{ID univoco}.{[email protected]}.{xtbl}
Il virus può anche interferire con le copie shadow del volume e il backup locale della macchina Windows per eliminare eventuali backup e aumentare ulteriormente le possibilità di pagamento. Questo di solito è fatto tramite il seguente comando nel prompt dei comandi di Windows:
→vssadmin eliminare ombre / all / quiet
La tecnica di distribuzione di Savepanda ransomware
Simile ad altri virus XTBL ransomware, il ransomware Savepanda può diffondersi attraverso una tecnica bruta costringendo gli hacker che dà accesso immediato al computer di destinazione.
Altre tecniche possono includere la diffusione dei file dannosi o collegamenti web con JavaScript dannoso tramite messaggi di spam sui social media o forum web. Inoltre, i messaggi di spam di posta elettronica, come una fattura falsa, si possono incontrare anche ricevuta o lettera da una banca. Gli utenti sono invitati dagli esperti per prendere i file di attenzione e pre-scansione con i servizi online, come VirusTotal prima di aprirli.
Rimuovere Savepanda dal computer e decifrare file .xtbl
Prima accattonaggio qualsiasi tipo di processo di decodifica, è fortemente consigliabile per rimuovere in primo luogo il ransomware Savepanda completamente dal computer. Al fine di eliminare completamente, Essere informati che si dovrebbe usare uno scanner anti-malware per la massima efficacia, soprattutto se non si ha esperienza con la rimozione manuale di malware.
Dopo aver fatto questo, vi consigliamo di scaricare il decryptor per Savepanda ransomware per cercare di decodificare i file, ma il backup dei file prima di tentare di decodificare loro perché possono rompersi durante il processo: