ransomware virus, dat behoort tot de Crysis varianten met behulp van de e-mail [email protected] en de .xtbl suffix als bestandsextensies om de bestanden codeert het was voor het eerst ontdekt in eind augustus, 2016. In tegenstelling tot andere Crysis varianten, die in de tientallen, Dit ransomware virus zich verder en gevaarlijker. Een van de redenen hiervoor is dat het gebruik maakt van de AES (Advanced Encryption Standard) encryptie-algoritme om een wijziging op de bestanden van de computer, besmet door haar. Na dit, deze bestanden worden niet meer in staat om te worden geopend, vooral omdat ze worden veranderd. Het virus wil contact opnemen met de twijfelachtige e-mail adres voor meer informatie, waar de cyber-criminelen begint een onderhandeling om een flinke losgeld vergoeding terug te betalen en krijgen de bestanden – een nieuwe vorm van online afpersing. Als je geïnfecteerd bent met Savepanda ransomware, zorg ervoor dat elke losgeld niet betalen om cyber-criminelen, want er is een decoder voor dit virus.
Savepanda Ransomware in Detail
Wanneer het virus infecteert, het begint onmiddellijk, bestanden in de systeemmappen van de primaire harde schijf van de geïnfecteerde machine. De volgende mappen kunnen zijn getroffen:
- %App data%
- %SystemDrive%
- %Local%
- %Roamen%
De ransomware virus wordt geloofd door gebruikers in staat om meerdere bestanden te maken op de% map% Startup ook. Voor degenen die niet weten, iets in deze map laten vallen automatisch draait op het opstarten van Windows. De bestanden in deze map daalde met Savepanda virus kan variëren:
- Kwaadaardig bestand dat de gegevens versleutelt.
- Tekst, .html-bestanden en anderen op elkaar dat een losgeld briefje met instructies kunnen bevatten om contact op met de e-mail naar “customer support”.
- Picture-bestand dat kan ook worden ingesteld als een wallpaper.
Savepanda heeft ook een brede steun van bestandstypen het infecteert en verandert. Het virus is vooral gericht op het versleutelen, foto's, archief, afbeeldingen, video's en audio-bestanden, maar ESG malware onderzoekers hebben ontdekt om andere typen bestanden te versleutelen en, zoals:
→ Episode, .odm, .Antwoorden, .ODS, .odt, .docm, .docx, .dokter, .spec, .mp4, sql, .7van, .m4a, .rar, .wma, .gdb, .belasting, .pkpass, .BC6, .BC7, .avi, .wmv, .csv, .d3dbsp, .ritssluiting, .zij, .som, .iBank, .t13, .t12, .QDF, .PKP, .QIC, .bkf, .SIDN, .zijn, .mddata, .ITL, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .geval, .svg, .kaart, .wmo, .itm, .sb, .fos, .mov, .VDF, .ztmp, .zus, .sid, .NCF, .menu, .lay-out, .dmp, .bobbel, .esm, .vcf, .VTF, .dazip, .FPK, .MLX, .kf, .IWD, .vpk, .tor, .psk, .rand, .w3x, .FSH, .ntl, .arch00, .lvl, .SNX, .cf., .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .KDB, .db0, .dba, .rofl, .hkx, .bar, .UPK, .de, .IWI, .litemod, .Bedrijfsmiddel, .smederij, .ltx, .bsa, .apk, .RE4, .SAV, .lbf, .slm, .bik, .EPK, .rgss3a, .dan, .groot, portemonnee, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .tekst, .p7c, .P7B, .p12, .pfx, .pem, .crt, .hemel, .de, .X3F, .SRW, .pef, .ptx, .r3d, .RW2, .RWL, .rauw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .CR2, .CRW, .baai, .SR2, .SRF, .ARW, .3fr, .DNG, .jpe, .jpg, .cdr, .indd, .naar, .eps, .pdf, .pdd, .psd, .dbf, .MDF, .wb2, .rtf, .WPD, .DXG, .xf, .dwg, .pst, .accdb, .CIS, .PPTM, .pptx, .ppt, .XLK, .XLSB, .xlsm, .xlsx, .xls, .wps. (Bron: ESG)
Na de encryptie Hass gedaan, het virus heeft het vermogen om te voegen dat het onderscheidend bestandsextensie, bij voorbeeld:
→New tekstdocument.txt.{UNIEKE ID}.{[email protected]}.{xtbl}
Het virus kan ook knoeien met de schaduw volume kopieën en de lokale back-up van het Windows-machine om eventuele back-ups te verwijderen en de kans van betaling verder te verhogen. Dit gebeurt meestal via de volgende opdracht in Windows Command Prompt:
→vssadmin verwijderen schaduwen / all / quiet
De Distribution Technique van Savepanda Ransomware
Net als bij andere XTBL ransomware virussen, de Savepanda ransomware kunnen zich via een brute dwingen techniek die hackers onmiddellijk toegang tot de beoogde computer geeft.
Andere technieken kunnen onder meer de verspreiding van de schadelijke bestanden of weblinks met kwaadaardige JavaScript via gespamde berichten op sociale media of webfora. Bovendien, e-mail spam-berichten, als een nep-factuur, ontvangst of brief van een bank kunnen zich ook voordoen. Gebruikers wordt geadviseerd door deskundigen om voorzichtig en pre-scan bestanden met online services nemen, als VirusTotal voordat u ze opent.
Verwijder Savepanda van uw computer en decoderen .xtbl Files
Voordat bedelen elk type decryptie proces, is het sterk aan te raden om eerst volledig te verwijderen van de Savepanda ransomware van uw computer. Om het volledig te verwijderen, er rekening mee dat u een anti-malware scanner voor maximale effectiviteit dient te gebruiken, vooral als je geen ervaring hebt met handmatig verwijderen van malware.
Na dit te doen, raden wij u downloaden van de decryptor voor Savepanda ransomware te proberen en decoderen van uw bestanden, maar een back-up van de bestanden voordat je probeert om ze te decoderen, omdat ze ook kunnen breken tijdens het proces: