וירוס כופר, ששייך Crysis וריאנטים באמצעות הדואר האלקטרוני [email protected] ואת הסיומת .xtbl כמו סיומות קבצים לקבצים זה מקודד התגלה לראשונה בסוף אוגוסט, 2016. בניגוד גרסות Crysis אחרות, אשר נמצאים עשרות, וירוס כופר זו נפוץ יותר ויותר מסוכן. אחת הסיבות לכך היא כי היא משתמשת AES (תקן הצפנה מתקדם) אלגוריתם הצפנה לבצע שינוי על הקבצים של המחשב, נגוע על ידה. אחרי זה, קבצים אלה הופכים כבר לא מסוגל להיות פתח, בעיקר משום שהן הופכות שינו. נגיף רוצה לפנות לכתובת הדואר האלקטרוני בספק למידע נוסף, איפה הפושעים-הסייבר להתחיל משא ומתן לשלם דמי כופר כבדים וחזקים ולקבל את הקבצים בחזרה – צורה חדשה של סחיטה באינטרנט. אם אתה נגוע כופר Savepanda, לוודא שלא לשלם כל כופר כדי נוכלים-סייבר כי קיים decryptor וירוס זה.
Savepanda כופר בהרחבה
כאשר הנגיף מדביק, זה מתחיל מייד ולשחרר קבצים בתיקיות המערכת של הכונן הקשיח העיקרי במכשיר הנגוע. התיקיות הבאות עשויות הושפעו:
- %AppData%
- %SystemDrive%
- %% מקומי
- %נדידה%
הנגיף הכופר הוא האמין ידי למשתמשים ליצור מספר קבצים על תיקיית% Startup% גם כן. לאלו שלא יודעים, דבר ירד בתיקייה זו מפעיל באופן אוטומטי עם הפעלת Windows. הקבצים ירדו בתיקייה זו על ידי וירוס Savepanda עשוי להשתנות:
- קובץ זדוני שמצפין את הנתונים.
- טקסט, .קבצים אחרים html כי דומה עשוי להכיל מכתב כופר עם ההוראות ליצור קשר בדואר אלקטרוני עבור "תמיכת לקוחות".
- קובץ תמונה שניתן להגדיר גם כטפט.
יש Savepanda גם תמיכה רחבה של סוגי קבצים הוא מדביקים ומשנה. הנגיף מתמקד בעיקר על הצפנה, תמונות, ארכיונים, תמונות, סרטוני וידאו וקבצי אודיו, אבל חוקרים זדוניים ESG גילו אותה כדי להצפין סוגים אחרים של קבצים, כמו גם, כמו:
→ פרק, .ODM, .משיב, .ods, .ODT, .docm, .docx, .doc, .ODB, .mp4, SQL, .7מ, .M4A, .rar, .WMA, .gdb, .מס, .pkpass, .bc6, .bc7, .avi, .wmv, .CSV, .d3dbsp, .רוכסן, .הוא, .סכום, .ibank, .T13, .T12, .QDF, .PKP, .QIC, .bkf, .SIDN, .הוא, .mddata, .ITL, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .GHO, .במקרה, .SVG, .מפת, .WMO, .itm, .SB, .פוס, .mov, .VDF, .ztmp, .אחותי, .sid, .NCF, .תפריט, .פריסה, .DMP, .כֶּתֶם, .ESM, .VCF, .VTF, .dazip, .fpk, .MLX, .KF, .IWD, .VPK, .Tor, .PSK, .שפה, .w3x, .FSH, .NTL, .arch00, .שלב, .snx, .השווה, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DBA, .rofl, .hkx, .בר, .UPK, .ה, .iwi, .litemod, .נכס, .חישול, .LTX, .BSA, .APK, .RE4, .SAV, .ליברות, .SLM, .ביק, .EPK, .rgss3a, .אז, .גדול, ארנק, .wotreplay, .xxx, .יורד, .py, .M3U, .flv, .JS, .CSS, .RB, .png, .jpeg, .טקסט, .p7c, .p7b, .p12, .PFX, .estab, .CRT, .CER, .של ה, .x3f, .SRW, .PEF, .PTX, .r3d, .RW2, .RWL, .גלם, .RAF, .ORF, .NRW, .mrwref, .MEF, .ERF, .KDC, .DCR, .CR2, .CRW, .מפרץ, .SR2, .SRF, .רווח יומי, .3fr, .DNG, .דואר JP, .jpg, .CDR, .INDD, .כדי, .eps, .pdf, .PDD, .PSD, .DBF, .MDF, .wb2, .rtf, .WPD, .DXG, .XF, .DWG, .PST, .accdb, .MDB, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .WPS. (מקור: ESG)
לאחר הס ההצפנה נעשתה, יש את הווירוס את היכולת לצרף שזה סיומת קובץ ייחודית, לדוגמה:
→טקסט חדש Document.txt.{מזהה ייחודי}.{[email protected]}.{xtbl}
הווירוס יכול גם להתעסק עם עותקים נפח צל ואת הגיבוי המקומי של המכונה Windows למחוק כל הגיבויים ובנוסף יגדיל את הסיכוי תשלום. זה נעשה בדרך כלל באמצעות הפקודה הבאה ב Prompt Windows Command:
→vssadmin למחוק צללים / כל / שקט
טכניקת חלוקת Savepanda כופר
בדומה וירוסים כופרים XTBL אחרים, כופר Savepanda עלול להפיץ באמצעות טכניקה המכריחה-זרוע אשר נותנת האקר גישה מיידית למחשב הממוקד.
טכניקות אחרות עשויות לכלול את הפצת קבצים זדוניים או קישורי אינטרנט עם JavaScript זדוני באמצעות הודעות שמפיצים ספאם על מדיה חברתית או בפורומים באינטרנט. יתר על כן, הודעות דואר זבל, כמו חשבונית מזויפת, קבלה או מכתב מבנק ניתן גם נתקלה. מומלצים למשתמשים על ידי מומחים לקחת בזהירות וקבצים מראש סריקה עם שירותים מקוונים, כמו VirusTotal לפני פתיחתם.
הסר Savepanda ממחשב פענוח .xtbl קבצים
לפני שביקשת כל סוג של תהליך הפענוח, זה מאוד מומלץ ראשית להסיר את כופר Savepanda לחלוטין מהמחשב. על מנת להסיר אותו לחלוטין, שים לב לכך שאתה צריך להשתמש בסורק נגד תוכנות זדוניות עבור יעילות מקסימלית במיוחד אם אין לך ניסיון עם הסרת תוכנות זדוניות ידנית.
אחרי עושה את זה, אנו ממליצים לך להוריד את decryptor עבור כופר Savepanda לנסות ולפענח את הקבצים שלך, אבל לגבות את הקבצים לפני שאתה מנסה לפענח אותם כי הם גם עלולים לשבור במהלך התהליך: