ransomware-virus, der hører til Crysis varianter ved hjælp af e-mail savepanda@india.com og .xtbl suffiks som filtypenavne til de filer det koder var først blevet opdaget i slutningen af august, 2016. I modsætning til andre Crysis varianter, som er i snesevis, denne ransomware virus er mere udbredt og mere farlig. En af grundene til det er, at det bruger AES (Advanced Encryption Standard) krypteringsalgoritme til at udføre en ændring på filerne på computeren, smittet af det. Efter dette, disse filer bliver ikke længere i stand til at blive åbnet, primært fordi de bliver ændret. Den virus ønsker at kontakte den tvivlsomme e-mail-adresse for mere information, hvor cyber-kriminelle begynde en forhandling til at betale en heftig løsesum gebyr og få filerne tilbage – en ny form for online afpresning. Hvis du er smittet med Savepanda ransomware, sørg for at ikke betale nogen løsesum til cyber-kriminelle, fordi der er en decryptor for denne virus.
Savepanda Ransomware i Detail
Når virus inficerer, det begynder straks at slippe filer i systemmapperne af den primære harddisk af den inficerede maskine. Følgende mapper kan have været påvirket:
- %AppData%
- %SystemDrive%
- %Lokal%
- %Roaming%
Den ransomware virus menes af brugere til at oprette flere filer på Startup% mappen% samt. For dem, der ikke kender, noget faldt i denne mappe automatisk kører på Windows opstart. Filerne faldt i denne mappe ved Savepanda virus kan variere:
- Ondsindet fil, der krypterer data.
- Tekst, .html-filer og andre, lignende, der kan indeholde en løsesum notat med instruktioner til at kontakte e-mailen for ”kundesupport”.
- Picture-fil, der kan også indstille som baggrund.
Savepanda har også en bred støtte til filtyper det inficerer og ændrer. Den virus er primært fokus på kryptering, fotos, arkiv, billeder, videoer og lydfiler, men ESG malware forskere har opdaget det til at kryptere andre typer filer samt, såsom:
→ Episode, .ODM, .Svar, .ODS, .ODT, .docm, .docx, .doc, .spec, .mp4, sql, .7fra, .m4a, .rar, .wma, .gdb, .skat, .pkpass, .bc6, .bc7, .avi, .wmv, .csv, .d3dbsp, .zip, .de, .sum, .iBank, .t13, .t12, .QDF, .PKP, .QIC, .BKF, .SIDN, .er, .mddata, .ITL, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .GHO, .tilfælde, .svg, .kort, .WMO, .ITM, .sb, .fos, .mov, .VDF, .ztmp, .sis, .sid, .NCF, .menu, .layout, .dmp, .klat, .ESM, .VCF, .VTF, .dazip, .FPK, .MLX, .kf, .IWD, .VPK, .tor, .PSK, .kant, .w3x, .fsh, .NTL, .arch00, .lvl, .SNX, .jfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .KDB, .db0, .dba, .rofl, .hkx, .bar, .UPK, .den, .iWi, .litemod, .aktiv, .smede, .LTX, .BSA, .apk, .RE4, .sav, .lbf, .slm, .Bik, .EPK, .rgss3a, .derefter, .stor, pung, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .PEM, .crt, .himlen, .den, .x3f, .SRW, .PEF, .PTX, .R3D, .RW2, .RWL, .rå, .raf, .orf, .NRW, .mrwref, .MEF, .ejendom, .KDC, .DCR, .CR2, .CRW, .bay, .SR2, .SRF, .ARW, .3fr, .DNG, .JPE, .jpg, .cdr, .indd, .til, .eps, .pdf, .PDD, .PSD, .dbf, .MDF, .WB2, .rtf, .WPD, .DXG, .xf, .dwg, .pst, .accdb, .CIS, .PPTM, .PPTX, .ppt, .XLK, .xlsb, .xlsm, .XLSX, .xls, .WPS. (Kilde: ESG)
Efter kryptering Hass blevet gjort, virussen har evnen til at vedhæfte det er karakteristisk filtypenavn, for eksempel:
→Ny tekst dokument.txt.{UNIQUE ID}.{savepanda@india.com}.{xtbl}
Den virus kan også pille ved skygge volumen kopier og den lokale backup af Windows-maskine til at slette eventuelle sikkerhedskopier og yderligere øge chancen for betaling. Dette sker som regel via følgende kommando i Windows Kommandoprompt:
→vssadmin slette skygger / alle / quiet
Distributionsselskabet Teknik af Savepanda Ransomware
I lighed med andre XTBL ransomware virus, den Savepanda ransomware kan spredes via en brute-tvinger teknik, der giver hackere direkte adgang til den målrettede computer.
Andre teknikker kan omfatte spredning af de ondsindede filer eller links med ondsindet JavaScript via spammed meddelelser på sociale medier eller web-fora. Endvidere, e-mail-spam-meddelelser, ligesom en falsk faktura, kvittering eller brev fra en bank kan også opstå. Brugere anbefales af eksperter til at tage forsigtighed og pre-scan filer med online-tjenester, ligesom VirusTotal før du åbner dem.
Fjern Savepanda fra din computer og dekryptere .xtbl filer
Før tigger enhver type dekrypteringsprocessen, er det stærkt tilrådeligt at først fjerne Savepanda ransomware fuldt fra din computer. For at fjerne det helt, tilrådes, at du skal bruge en anti-malware scanner til maksimal effektivitet, især hvis du ikke har erfaring med manuel fjernelse af malware.
Efter at gøre dette, vi råde dig downloade decryptor for Savepanda ransomware at forsøge at afkode dine filer, men sikkerhedskopiere filerne, før du prøver at afkode dem, fordi de også kan gå i stykker under processen: