Enda en versjon av den beryktede pane har blitt sluppet. Det er mest sannsynlig en oppdatert variant av .aesir filtypen pane, i likhet med hva CERBER ransomware, den andre store aktøren i dette segmentet gjør, kommer opp med flere varianter i korte tidsrammer. Denne varianten av pane benytter en JS-fil for infeksjonen, men det har ikke sin egen kommando servere og er i stedet automatisert, forskerne tror. For å forstå hvordan å fjerne dette viruset og lære alternative metoder for å prøve å gjenopprette filene dine uten å måtte betale løse, Vi anbefaler deg å lese denne artikkelen grundig.
Hva gjør pane Ransomware Do?
Når det smitter, den pane virus bruker en annen filtype til å kryptere filer, enn det er tidligere varianter – .zzzzz. I motsetning til de variantene som bruker navnet på norrøne guder, dette pane bruker 1 brev gjentatt fem ganger for en utvidelse, som er helbredet. Ikke bare dette, men e-post som har arkiver, nevnte rekkefølge _{Navnet på offeret}.zip brukes til å infisere brukere med ondsinnet JS (Javascript) filer i dem. Nedlastingen plasseringene av disse filene er en av de mange distribusjon nettsteder som brukes av pane.
Etter denne skadelige filen åpnes av brukeren, den ransomware får rett ned til virksomheten. Det skaper en kopi av løsepenger notat bruk med navnet _1-INSTRUCTION.html. Løse notatfil er også endret som bakgrunn på offerets datamaskin, ser ut som følgende:
“!!! VIKTIG INFORMASJON !!!
Alle filene er kryptert med RSA-2048 og AES-128 koder.
Mer informasjon om RSA og AES finner du her:
https://en.wikipedia.org/wiki/RSA_(kryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Dekryptering av filene dine er bare mulig med den private nøkkelen og dekryptere program, Alt som er på vår hemmelighet serveren.
For å motta din private nøkkel følge en av linkene:
1. [redacted] 2. [redacted] Hvis alt dette adresser er ikke tilgjengelige, Følg disse instruksjonene:
1. Last ned og installer Tor Browser: https://www.torproject.org/download/download-easy.html
2. Etter en vellykket installasjon, kjøre nettleseren og vente på initialisering.
3. Skriv inn i adressefeltet: [redacted] 4. Følg instruksjonene på nettstedet.
!!! Din personlige identifikasjon ID: [redacted] !!!”
Den INSTRUCTION.html filen har også en lignende løsepenger melding:
Begge nettstedene som mål å lede offeret hvis filene er kryptert med pane er .zzzzz variant til den tradisjonelle for denne familien av skadelig programvare Pane Decryptor nettside.
Hva er pane er kryptering og hvorfor jeg ikke kan åpne Mine filer?
Viruset er en av de sterkeste når det gjelder kryptering av brukerfiler. Faktisk, det er forhåndsprogrammert til å kryptere en rekke filtyper, mer enn 400:
→ .001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3per, .602, .7fra, .7zip, .BUE, .CSV, .DOC, .PUNKTUM, .MYD, .SOLGT, .NEF, .PAQ, .PPT, .RTF, .SQLite3, .SQLITEDB, .XLS, .aac, .AB4, .ACCDB, .accde, .accdr, .accdt, .men, .acr, .handling, .ADB, .ADP, .annonser, .aes, .agdl, .til, .aIFF, .tilhørighet til, .al, .aoi, .APJ, .apk, .ARW, .ASC, .asf, .person, .asp, .aspx, .ressurs, .ASX, .avi, .AWG, .tilbake, .backup, .backupdb, .bak, .bank, .flaggermus, .bay, .BDB, .BGT, .Bik, .bin, .PKP, .blanding, .bmp, .bpw, .brd, .BSA, .cdf, .cdr, .CDR3, .CDR4, .cdr5, .cdr6, .CDRW, .CDX, .CE1, .ce2, .himmelen, .cfg, .CGM, .lomme, .klasse, .cLS, .cmd, .cmt, .config, .kontakt, .cpi, .cPP, .cr2, .craw, .crt, .CRW, .cs, .csh, .CSL, .csr, .css, .csv, .d3dbsp, .Dacian, .den, .hvilken, .db, .db3, .db_journal, .dbf, .dbx, .DC2, .DCH, .dcr, .dcs, .ddd, .dock, .NRW, .DDS, .den, .av, .design, .DGC, .dif, .dyppe, .dette, .DJV, .djvu, .DNG, .doc, .docb, .DOCM, .docx, .punktum, .DOTM, .dotx, .drf, .DRW, .DTD, .dwg, .dxb, .dxf, .DXG, .datamaskin, .eml, .eps, .erbsql, .eiendom, .EXF, .FDB, .FFD, .fff, .fh, .FHD, .fla, .flac, .FLF, .flv, .flvv, .smi, .fpx, .frm, .FXG, .gif, .gpg, .grå, .grå, .grupper, .spill, .gz, .HBK, .hdd, .HPP, .html, .HWP, .iBank, .IBD, .FLR, .idx, .IIF, .IIQ, .incpas, .INDD, .IWI, .krukke, .java, .JNT, .jpe, .jpeg, .jpg, .js, .KC2, .kdbx, .KDC, .nøkkel, .kpdx, .historie, .laccdb, .legge, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .Logg, .LTX, .ta, .m2ts, .m3u, .m4a, .m4p, .m4u, .m4v, .mapimail, .max, .MBX, .md, .CIS, .MDC, .MDF, .MEF, .MFW, .mid, .mkv, .mLB, .mml, .MMW, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .MRW, .MS11, .msg, .verden, .N64, .nd, .NDD, .NDF, .nave, .nk2, .nop, .NRW, .ns2, .NS3, .NS4, .NSD, .nsf, .NSG, .NSH, .nvram, .nwb, .NX2, .NXL, .NYF, .OAB, .obj, .spec, .Episode, .odf, .Svar, .odm, .Svar, .ods, .odt, .ogg, .olje, .onetoc2, .ORF, .ost, .OTG, .oth, .otp, .OTS, .der, .p12, .P7B, .P7C, .hjelpe, .sider, .ikke, .klapp, .pcd, .pct, .pdb, .PDD, .pdf, .PEF, .PEM, .pfx, .php, .conk, .pl, .plc, .plus_muhd, .png, .gryte, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .Pptm, .pptx, .PRF, .ps, .psafe3, .psd, .pspimage, .PST, .PTX, .PWM, .py, .Qba, .QBB, .qbm, .QBR, .QBW, .qbx, .qby, .qcow, .qcow2, .er, .R3D, .raf, .rar, .rotte, .rå, .rb, .RDB, .RE4, .rm, .rtf, .RVT, .RW2, .RWL, .RWZ, .s3db, .trygt, .sas7bdat, .sav, .lagre, .si, .sch, .SD0, .sda, .sdf, .sh, .SLDM, .sldx, .SLK, .sql, .sqlite, .sqlite3, .sqlitedb, .SR2, .SRF, .srt, .SRW, .ST4, .ST5, .ST6, .ST7, .st8, .STC, .std, .sti, .stm, .STW, .STX, .svg, .swf, .SXC, .SXD, .SXG, .hun, .sxm, .sxw, .tar, .tar.bz2, .TBK, .tex, .tga, .tgz, .THM, .tif, .tiff, .stk, .tekst, .general, .uot, .UPK, .vb, .vbox, .vbs, .VDI, .VHD, .vhdx, .VMDK, .vmsd, .VMX, .vmxf, .vob, .WAB, .dott, .lommebok, .wav, .WB2, .wk1, .uker, .wma, .wmv, .WPD, .WPS, .x11, .x3f, .film, .xla, .xlam, .xlc, .XLK, .XLM, .XLR, .xls, .xlsb, .xlsm, .xlsx, .XLT, .xltm, .xltx, .xlw, .xml, .ycbcra, .YUV, .zip
Filer som er kryptert vil ha filtypen med repeaded “z” brev og bli ikke lenger kan åpnes. Krypteringen antas å bli brukt til disse filene er AES-128 i kombinasjon med et siffer som er RSA-2048 og frembringer et unikt dekrypteringsnøkkel for hver infeksjon.
Når dette er gjort, Pane ransomware kan slette sikkerhetskopier og annen fil historie ved hjelp av vssadmin kommandoen.
Hvordan kom jeg infisert med pane .zzzzz?
Alt som trengs for å bli smittet med pane ransomware er .zzzzz variant er å åpne en phishing e-post som utgir seg for å være et legitimt. Her er et eksempel på en infeksjon, oppdaget tidligere:
→ "Kjære kunde,
Hilsen fra Amazon.com
Vi skriver for å fortelle deg at følgende melding har blitt sendt med Royal Mail.
For mer informasjon om leveringsestimater og alle åpne ordrer, besøk gjerne: {web link}
Bestillingen {ordrenummer}”
E-posten har en skadelig arkiv (.zip-fil) som er oppkalt "REKKEFØLGE-{Nummer}.zip}”. Hvis brukeren er uerfaren nok til å laste ned og åpne ondsinnet JS-fil i arkivet som kan late til å være enten en Microsoft Office eller en Adobe-dokument, de straks blir injisert med en Javascript-protokoll som forårsaker infeksjonen med pane.
Slik fjerner pane Ransomware og gjenopprette krypterte filer
For å fullt slette viruset vi anbefaler deg å bruke en avansert anti-malware program i tilfelle du mangler erfaring i malware fjerning. Det vil profesjonelt slette alle objektene i forbindelse med pane på datamaskinen din på en rask måte.
For å prøve og gjenopprette filer du har flere alternative metoder liggende før du:
- Data Recovery Software.
- Shadow sikkerhetskopier Restore (hvis intakt)
- Network Sniffer.
- Prøv tredjeparts decryptors etter sikkerhetskopiering de krypterte filene. (ikke prøve dem på de originale kopier av de krypterte filene, bare på andre kopier)
Disse metodene kan ikke være 100% effektive, men de kan være effektive nok til å gjenopprette minst noen av filene dine.