Ransomware virus, som hör till Crysis varianter använder e-post [email protected] och .xtbl suffix som filnamnstillägg till de filer den kodar hade först upptäckts i slutet av augusti, 2016. Till skillnad från andra crysis varianter, vilka är i tiotals, Detta Ransomware virus är mer utbredd och farligare. En orsak till det är att den använder AES (Avancerad krypterings standard) krypteringsalgoritm för att utföra en ändring på filerna i datorn, smittade av den. Efter det här, dessa filer blir inte längre kan öppnas, främst eftersom de blir förändrad. Viruset vill komma i kontakt med tvivelaktiga e-postadress för mer information, där cyberbrottslingar börjar en förhandling för att betala en rejäl lösen avgift och få filerna tillbaka – en ny form av online-utpressning. Om du är smittad av Savepanda Ransomware, se till att inte betala någon lösen för att cyberkriminella eftersom det finns en decryptor för detta virus.
Savepanda Ransomware i detalj
När viruset infekterar, börjar omedelbart släppa filer i systemkatalogerna för den primära hårddisken i infekterade maskinen. Följande mappar kan ha påverkats:
- %Applikationsdata%
- %Systemdrive%
- %Lokal%
- %roaming%
Den Ransomware viruset tros av användare att skapa flera filer vid start% mappen% samt. För dem som inte vet, något föll i denna mapp körs automatiskt vid start av Windows. Filerna tappade i denna mapp med Savepanda viruset kan variera:
- Skadlig fil som krypterar data.
- Text, .html-filer och andra liknande som kan innehålla ett hotbrev med instruktioner för att kontakta e-post för ”kundsupport”.
- Bildfil som kan också ställa som bakgrund.
Savepanda har också ett brett stöd för filtyper det infekterar och förändrar. Viruset är främst med fokus på kryptering, foton, arkiv, bilder, videor och ljudfiler, men ESG malware forskare har upptäckt att kryptera andra typer av filer samt, som:
→ Episode, .odm, .svara, .ods, .odt, .docm, .docx, .doc, .ODB, .mP4, sQL, .7från, .m4a, .rar, .wma, .gdb, .beskatta, .pkpass, .bc6, .bc7, .avi, .wmv, .csv, .d3dbsp, .blixtlås, .de, .summa, .iBank, .t13, .t12, .Qdf, .PKP, .QIC, .BKF, .SIDN, .är, .mddata, .lire, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .SyncDB, .gho, .fall, .svg, .Karta, .WMO, .itm, .sb, .fos, .mov, .VDF, .ztmp, .sis, .sid, .NCF, .meny, .layout, .dmp, .klick, .ESM, .vCF, .VTF, .dazip, .FPK, .MLX, .K F, .IWD, .VPK, .tor, .pSK, .fälg, .w3x, .FSH, .ntl, .arch00, .lvl, .SNX, .jfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .KDB, .DB0, .dba, .rofl, .hkx, .bar, .UPK, .den, .iWi, .litemod, .tillgång, .förfalska, .LTX, .bsa, .APK, .RE4, .sav, .Ibf, .sim, .bik, .EPK, .rgss3a, .sedan, .stor, plånbok, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .Text, .p7c, .P7B, .p12, .pfx, .om inrättandet, .crt, .cer, .den, .x3f, .srw, .PEF, .ptx, .R3D, .RW2, .RWL, .rå, .raf, .orf, .nrw, .mrwref, .MEF, .erf, .KDC, .dcr, .cr2, .CRW, .vik, .SR2, .srf, .dag vinst, .3fr, .DNG, .jpe, .jpg, .CDR, .indd, .till, .eps, .pdf, .PDD, .psd, .dBF, .MDF, .WB2, .rtf, .wpd, .DXG, .xf, .dwg, .PST, .ACCDB, .mdb, .pptm, .PPTX, .ppt, .XLK, .xlsb, .xlsm, .xlsx, .xls, .wps. (Källa: ESG)
Efter krypterings Hass gjorts, viruset har förmågan att lägga det utmärkande filändelse, till exempel:
→Ny Text Document.txt.{UNIKT ID}.{[email protected]}.{xtbl}
Viruset kan också manipulera med skugga volym kopior och den lokala säkerhetskopian av Windows-maskin för att ta bort eventuella säkerhetskopior och ytterligare öka risken för betalnings. Detta görs vanligen via följande kommando i Windows Kommandotolken:
→vssadmin bort skuggor / all / quiet
Distributions Teknik för Savepanda Ransomware
I likhet med andra XTBL Ransomware virus, den Savepanda Ransomware kan spridas via en brute-tvinga teknik som ger hackare omedelbar tillgång till riktade dator.
Andra tekniker kan innefatta spridning av skadliga filer eller webblänkar med skadlig JavaScript via erhållit skräppost meddelanden på sociala medier eller webbforum. dessutom, e-post skräppost, som en bluff Faktura, kvitto eller brev från en bank kan också uppstå. Användare rekommenderas av experter för att vidta försiktighet och pre-skannade filer med onlinetjänster, som Virustotal innan du öppnar dem.
Ta Savepanda från datorn och dekryptera .xtbl Files
Innan tiggeri någon typ av dekryptering process, Det är starkt tillrådligt att först ta bort Savepanda Ransomware helt från datorn. För att ta bort den helt och hållet, observera att du bör använda en anti-malware scanner för maximal effektivitet, särskilt om du inte har erfarenhet av manuellt avlägsnande av skadlig kod.
Efter att ha gjort detta, råder vi dig ladda ner decryptor för Savepanda Ransomware att försöka avkoda filerna, men säkerhetskopiera filerna innan du försöker att avkoda dem eftersom de kan också bryta under processen: