ransomware virus, som tilhører Crysis varianter med e-post [email protected] og .xtbl suffiks som filtyper til filene det koder hadde først blitt oppdaget i slutten av august, 2016. I motsetning til andre Crysis varianter, som er i titalls, Dette ransomware viruset er mer utbredt og mer farlig. En grunn til det er at den bruker AES (Advanced Encryption Standard) krypteringsalgoritme for å utføre en endring på filene på datamaskinen, infisert av det. Etter dette, disse filene blir ikke lenger i stand til å bli åpnet, først og fremst fordi de blir endret. Viruset vil kontakte tvilsom e-post adresse for mer informasjon, hvor cyber-kriminelle begynne en forhandling til å betale en heftig løsepenger avgift og få filene tilbake – en ny form for online utpressing. Hvis du er smittet av Savepanda ransomware, sørg for å ikke betale løsepenger for å cyber-skurkene fordi det er en decryptor for dette viruset.
Savepanda Ransomware i detalj
Når virus infiserer, det begynner umiddelbart å slippe filer i systemmappene for den primære harddisken fra den infiserte maskinen. Følgende mapper kan ha blitt påvirket:
- %AppData%
- %System%
- %lokal%
- %roaming%
Den ransomware virus antas av brukere å opprette flere filer på% Oppstart% mappe også. For de som ikke vet, noe falt i denne mappen kjøres automatisk ved oppstart av Windows. Filene falt i denne mappen ved Savepanda virus kan variere:
- Ondsinnet fil som krypterer dataene.
- Tekst, .html-filer og andre lignende som kan inneholde løsepenger notat med instruksjoner for å ta kontakt med e-post for “kundesupport”.
- Bildefil som kan også settes som bakgrunnsbilde.
Savepanda har også et bredt støtte av filtyper den infiserer og endrer. Viruset er først og fremst fokus på å kryptere, bilder, arkiv, bilder, videoer og lydfiler, men ESG malware forskere har oppdaget det å kryptere andre typer filer i tillegg, som for eksempel:
→ Episode, .odm, .Svar, .ods, .odt, .DOCM, .docx, .doc, .spec, .mp4, sql, .7fra, .m4a, .rar, .wma, .gdb, .avgift, .pkpass, .BC6, .bc7, .avi, .wmv, .csv, .d3dbsp, .zip, .de, .sum, .iBank, .t13, .t12, .Qdf, .PKP, .QIC, .bkf, .SIDN, .er, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .SyncDB, .GHO, .case, .svg, .kart, .WMO, .ITM, .sb, .fos, .mov, .VDF, .ztmp, .sis, .sid, .NCF, .Meny, .oppsett, .dmp, .blob, .ESM, .vcf, .VTF, .dazip, .FPK, .MLX, .kf, .IWD, .Vpk, .tor, .PSK, .kant, .w3x, .FSH, .NTL, .arch00, .lvl, .snx, .jfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .KDB, .db0, .dba, .rofl, .hkx, .Bar, .UPK, .den, .IWI, .litemod, .ressurs, .smi, .LTX, .BSA, .apk, .RE4, .sav, .lbf, .slm, .Bik, .EPK, .rgss3a, .deretter, .stor, lommebok, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .tekst, .P7C, .P7B, .p12, .pfx, .PEM, .crt, .himmelen, .den, .x3f, .SRW, .PEF, .PTX, .R3D, .RW2, .RWL, .rå, .raf, .ORF, .NRW, .mrwref, .MEF, .eiendom, .KDC, .dcr, .cr2, .CRW, .bay, .SR2, .SRF, .ARW, .3fr, .DNG, .jpe, .jpg, .cdr, .INDD, .til, .eps, .pdf, .PDD, .psd, .dbf, .MDF, .WB2, .rtf, .WPD, .DXG, .xf, .dwg, .PST, .ACCDB, .CIS, .Pptm, .pptx, .ppt, .XLK, .xlsb, .xlsm, .xlsx, .xls, .WPS. (Kilde: ESG)
Etter kryptering hass blitt gjort, viruset har evnen til å legge det særegne filtypen, for eksempel:
→New Tekst dokument.txt.{UNIK ID}.{[email protected]}.{xtbl}
Viruset kan også tukle med skygge volum kopier og lokal backup av Windows-maskinen for å slette sikkerhetskopier og ytterligere øke sjansen for betaling. Dette gjøres vanligvis via følgende kommando i Windows Command Prompt:
→vssadmin slette skygger / alle / quiet
Distribution Technique av Savepanda Ransomware
I likhet med andre XTBL ransomware virus, den Savepanda ransomware kan spres via et brute-tvang teknikk som gir hackere umiddelbar tilgang til målrettet datamaskin.
Andre teknikker kan omfatte spredning av ondsinnede filer eller linker med ondsinnet Java via spammet meldinger på sosiale medier eller nettfora. Dess, e-post spam-meldinger, som en falsk faktura, kvittering eller brev fra en bank kan også oppstå. Brukere anbefales av eksperter for å ta forsiktighet og pre-skannefiler med elektroniske tjenester, som Virustotal før du åpner dem.
Fjern Savepanda fra datamaskinen og dekryptere .xtbl filer
Før tigge hvilken som helst type dekrypteringsprosessen, Det er sterkt anbefalt å først fjerne Savepanda ransomware fullt fra datamaskinen. For å fjerne den helt, Vær oppmerksom på at du bør bruke en anti-malware scanner for maksimal effektivitet, spesielt hvis du ikke har erfaring med manuell fjerning av skadelig programvare.
Når du har gjort dette, Vi anbefaler at du laster ned decryptor for Savepanda ransomware å prøve og dekode filene dine, men sikkerhetskopiere filene før du prøver å dekode dem fordi de kan også bryte under prosessen: