Как удалить BUYUNLOCKCODE Ransomware

987
hsawires

Похоже, вымогатели циркулировали в течение последних нескольких недель. Он шифрует файлы данных и создает выкупную записку BUYUNLOCKCODE.txt во всех каталогах, где файл был зашифрован.

Этот файл buyunlockcode.txt содержит инструкции и электронное письмо, с которым вы должны связаться, чтобы получить инструкции по оплате. Известные адреса электронной почты: nick.jameson@expressmail.dk и ChiuKhan@tom.com, хотя они, скорее всего, со временем изменятся. В настоящее время сумма выкупа неизвестна.

Текст файла BUYUNLOCKCODE.txt:

Привет, ваш ID = JSOXXXXXXXX

Все важные файлы были закодированы с помощью алгоритма шифрования RSA-1024. Единственный способ их восстановить - приобрести уникальный код разблокировки.

Предупреждение! Любая попытка восстановления файлов без нашей «Специальной программы» приведет к повреждению или полной потере данных. Когда мы получим ваш платеж, мы вышлем вам специальную программу и ваш уникальный код для разблокировки вашей системы.

Гарантия: Вы можете отправить один из зашифрованных файлов по электронной почте, и мы расшифруем его бесплатно в качестве доказательства наших возможностей.

Нет смысла связываться с полицией. Ваш платеж должен быть сделан на электронный кошелек. Это невозможно отследить. Не тратьте свое и наше время.

Итак, если вы готовы заплатить за восстановление ваших файлов, пожалуйста, ответьте на это письмо ChiuKhan@tom.com

Затем мы вышлем инструкции по оплате.

У кого-нибудь есть идеи, как решить эту проблему?

5
Если ваши файлы уже зашифрованы, у вас нет других вариантов, кроме как заплатить. Если у вас есть резервная копия ваших файлов в автономном режиме, это один из ваших вариантов. Ramhound 9 лет назад 2
Нет никаких гарантий, что после того, как я заплачу, он отправит мне ключ, и нет никакой гарантии, что расшифровка - это бэкдор-клиент. hsawires 9 лет назад 0
Во всех случаях, на которые я смотрел, отправители выкупа фактически выполнили свои обещания и отправили все необходимое, чтобы отменить шифрование. Большинство из этих банд фактически управляют этими схемами как бизнесом, и поэтому хотят, чтобы их коллеги уважали их. Группы, которые делают это и выдавливают людей, довольно быстро выбегают из сцены, среди них есть достаточно сильный этический кодекс, даже если то, что они делают, очень плохо. shawty 9 лет назад 2
@hsawires - Вас беспокоит бэкдор-клиент, когда вы уже заражены. Сообщение, которое они отображают, в значительной степени говорит о том, что вы уже заражены инфекцией, которая предоставляет им бэкдор для вашей системы (так как они имеют возможность отправлять дополнительные полезные нагрузки). Хотя ваше беспокойство о том, что отправка им денег оправдана, если у вас нет резервной копии этих файлов, а денежные потери этих файлов больше, чем они просят, у вас нет другого варианта. Ramhound 9 лет назад 3
Удалить машину из сети. Платите или нет - этот риск зависит от вас. Затем подумайте, как вы заразились инфекцией и учитесь на ошибках (если знаете?). В любом случае, сбросьте ядро ​​с машины, то есть полностью переустановите, а затем, как предлагает Ramound, получите ваши файлы из резервной копии. Помните, что даже если вы удалите вирус, вы не знаете, что сделал вирус - да, вы знаете, были ли зашифрованные файлы, но вы не знаете, сделал ли он что-нибудь еще! Следовательно, почему переустановка так важна. Dave 9 лет назад 1
@ Ƭᴇcʜιᴇ007 Я думаю, что это совершенно другое, поскольку это не «Вирус», который мы можем удалить. это своего рода "шантаж". и как бороться с последствиями. hsawires 9 лет назад 0
@hsawires, это вирус. Вы должны помнить, что такие люди, как techie007, относятся к классу (что мы в этой профессии) как к черту (отсюда его репутация и уважение, которое он получает здесь от «завсегдатаев») :). Какой AV вы используете? Dave 9 лет назад 0
@Dave Norton Internet Security hsawires 9 лет назад 0
Norton Internet Security не предназначен для предотвращения таких инфекций. NIS хорош для многих других вещей, но предотвращение запуска этого вредоносного файла не входит в их число. Ramhound 9 лет назад 0
поэтому, пожалуйста, предложите другой пакет безопасности. hsawires 9 лет назад 0
@hsawires - Если ваши учетные записи не были Администраторами, и у вас была включена функция ShadowCopy, возможно, с помощью этой функции можно будет восстановить ваши файлы, файлы, зашифрованные с помощью аналогичного вредоносного ПО Cryptowall. **Стоит попробовать.** Ramhound 9 лет назад 2
Это вымогатель стирает или перезаписывает файлы после того, как они зашифрованы? Будет ли поиск свободного пространства найти что-нибудь для восстановления? Xen2050 9 лет назад 0

2 ответа на вопрос

3
shawty

It's not good news I'm afraid, but there MIGHT be some things you can do to help.

The first thing you need to do is to take the infected operating system offline.

There's a very good chance that as well as encrypting the files, the perpetrators have also installed some software which will be loaded into your operating system when it's booted up, this software will most likely be set up to watch the encrypted files, so that if they are tampered with it can take appropriate action.

What you need is a clean windows PC that boots up with no infections present, then you can take the hard drive from the infected PC and install it into this clean PC.

You must make absolutely certain that you DO NOT run anything on the infected hard drive, and this means also things like word documents, html pages, java script files as well as the obvious ones like EXE files.

Copy the files that you want to recover (Don't bother with operating system/windows files or program files, you'll be re-installing those later), even if the file is encrypted you might stand a chance of discovering the encryption key.

Once you've copied the files you want to try and recover, disconnect the infected hard drive so there can be no accidents in getting the virus onto the clean PC.

From that point on, if the files you've recovered are not encrypted than great, back them up safe, and thoroughly wipe the infected hard drive, re install windows and your apps and copy your recovered files back.

If the files you recovered are encrypted, then you need to find a way of working out exactly how and a way in which you might be able to undo the encryption.

The important thing here, is to get the files onto a clean computer, while it's not a full solution, it should get you at least to a position where you can examine and attempt to undo the encryption without fear of loosing your operating system all together.

Once you have your files on a clean PC, it might just be a case of finding a program that decrypts files encrypted with RSA-1024, and tries different codes until it finds one that works.

If you have any programming skills, windows has built in operating system routines in the .NET framework that can decrypt RSA data of different types, you might be able to write a small program that goes through trying different codes.

It would also help if you knew the format of "A code", is it just a straight number, is it a string of numbers and letters, if you know that it's always 6 digits then all you have to try are combinations from 000000 to 999999, sure it'll take a long time but if your file is important then it's time well spent.

Remember too that many of these criminal gangs are users of the malware, and not the creators, so many of them are actually just "Business Minded" looking to make money, this means there going to rely on what the malware can do, but generally won't be in a position to make it do anything extra.

This means if you can shut it down, then you at least remove their ability to further control the situation, and once you do that, then you generally remove their ability to kill everything on the PC should you not pay.

If you do end up paying and get a code and app to remove it, post it somewhere for others to use, I've heard of a few cases where the same code will unlock multiple infections due to the way the software works, so the more of these codes and unlockers we push out into the public domain for others to try, the harder we make it for these people to hold folks to random.

In summary, before you attempt to do anything, get your files onto a clean PC, only then can you begin to move forward.

To the best of my knowledge, at present there is NO UNIVERSAL FIX to reverse this malware, there are tools to remove the infection, but these tools still leave the user with encrypted files.

Пожалуйста, не говорите мне, что вы на самом деле пытаетесь предположить, что попытка перебора парольной фразы неизвестной длины действительно возможна? Большая часть этого ответа не является технически правильной, например, для способности .NET-приложения расшифровывать RSA-шифрование, вы должны предоставить ключевую фразу / ключ. Ramhound 9 лет назад 7
На самом деле, да, что не так с попыткой грубой силы? Вообще ничего Это может занять много времени, но такие приложения, как Джон Риппер, работающий на подходящем графическом процессоре, могут выполнять от нескольких сотен до нескольких тысяч попыток в секунду, я знаю, потому что я пробовал, и более того, я имел ограниченный успех тоже, не в этом случае, но, конечно, с аналогичными проблемами зашифрованных файлов. После этого давайте перейдем к вашему комментарию о том, что приложение .NET не может выполнять расшифровку RSA. Извините, что говорю это, но это вы ошибаетесь. (Продолжение) shawty 9 лет назад 0
Я программирую .NET Framework примерно с 1999 года и работаю в альфа и бета командах. Пространство имен System.Cryptography обладает множеством функциональных возможностей для всего: от Kerberos до MD5 и выше. Некоторые схемы - один из способов, я согласен, но если у вас есть желание, а также терпение и время написать программу для циклического прохождения различных комбинаций клавиш, это, безусловно, возможно. На самом деле, вы можете быть удивлены некоторыми вещами, которые возможны в текущей версии 4.5 и версии 6 компилятора C #. shawty 9 лет назад 0
Я не говорил, что вы могли бы расшифровать это без парольной фразы, а именно вы пытаетесь сказать это, искажая мои слова. Я сказал, что вполне возможно попробовать грубое форсирование с помощью линейной интерполяции по последовательности клавиш. Что касается вашего заявления о том, что это не решение, я полагаю, что это, по крайней мере, частичное решение, если у вас есть лучшее решение, то почему бы не добавить его в качестве ответа вместо того, чтобы выбирать глупые детские схватки с другими людьми с помощью комментариев. shawty 9 лет назад 0
Однако я не вижу никаких проблем с его попыткой, парольная фраза - это парольная фраза, я никогда не говорил, что она будет успешной, и я никогда не говорил, что это будет легко, я предложил ее как частичное решение. У вас могут быть проблемы с подходом грубой силы, я не знаю, и я знаю многих других, которые тоже этого не делают ... Если вы прочитаете мой пост снова, вы увидите, что основное ядро ​​моего совета - удалите файлы с зараженного жесткого диска, очистите жесткий диск, тогда, по крайней мере, у вас есть потенциально чистая платформа для работы, однако вы решите продолжить после этого. shawty 9 лет назад 0
RSA была сломана много лет назад. Есть оптимизированные алгоритмы и специализированные аппаратные конфигурации, используемые для его ускорения. Используя несколько машин, вы можете создавать радужные столы в стиле L0pht, чтобы ускорить процесс. Stevetech 9 лет назад 0
RSA была сломана много лет назад. Есть оптимизированные алгоритмы и специализированные аппаратные конфигурации, используемые для его ускорения. Используя несколько машин, вы можете создавать радужные столы в стиле L0pht, чтобы ускорить процесс. Stevetech 9 лет назад 3
Прочитайте это http://security.stackexchange.com/questions/47497/4096-bit-rsa-encryption-cracked RSA неоднократно нарушался. Это не тривиально, но это может быть сделано. Stevetech 9 лет назад 3
Насколько я вижу, в моем сообщении нет неточностей, единственное, что кажется здесь распространенным, это то, что вы не согласны с тем, что я говорю. Ничто из этого не находится ни в какой форме или форме технически неточно. Я не согласен с тем, что вам по вкусу, и, как я все хорошо знаю, всегда найдутся люди, которые не согласны с моим взглядом на вещи, потому что я из тех людей, которые счастливы выходить из строя, если у них что-то не получится может просто сработать, но ничего из этого технически неточно, и если вы не можете указать мне техническую статью из надежного источника, которая говорит иначе shawty 9 лет назад 1
Где просто придется согласиться не соглашаться по этому вопросу, потому что я не принимаю ваши опасения как в любом случае действительные или выше регресса. shawty 9 лет назад 0
3
Dave

Your question is

How to remove BUYUNLOCKCODE Ransomware

The answer: Use an antivirus program.

However, your post has other questions. You have no idea what other things the virus could have done to your machine. Just because you can see the files are encrypted doesn't mean it hasn't done anything else you're not currently aware of.

If the files are encrypted, you can't get them back (I use the word can't loosely, I should say highly unlikely (near impossible, especially without the right equipment and knowledge (and time))). This is why you would have to pay for the key, but there is the doubt you will get the key even if you do pay. However, it's usually in their interest to restore the files as it gives the attackers a (ironically) trustworthy reputation that they stay true to their word (meaning other victims will pay).

Regardless, after you get the files back or not, you need to wipe the machine, reformat it totally. Then restore the files from a back up (or at least from now on, always have a back up).

I should also point out when infected with things like this, it's very important to remove the machine from the network as these types of viruses often spread easily.

как я знаю. это не то, что мы называем «вирусом», как известно. это своего рода подпрограмма для трехсторонней стороны, использующая браузер для запуска программного обеспечения шифрования в системе для шифрования любого открытого документа. но ваш ответ не помогает "удалить", ваш ответ помогает принять ущерб :). и это звучит как единственный путь. hsawires 9 лет назад 0
Вы не можете (насколько я знаю) зашифровать файлы через браузер. Во-первых, невозможно использовать такие вещи, как JavaScript (HTML5 обеспечивает загрузку файлов, но только загрузку). Я предполагаю, что это можно сделать с помощью эксплойтов во Flash или Java, но то, что вы описали, должно было запустить ваш AV ... Хотя это может быть связано с чем-то в браузере, например с плагином, это IMO вирус (или, по крайней мере, вредоносное ПО (вредоносное ПО). Извините, для вас нет хороших новостей :( Dave 9 лет назад 2
Спасибо, мистер @Dave ... возможно ли написать процесс защиты и уничтожения такого рода вредоносных программ? наверняка есть некоторые меры предосторожности до заражения и некоторые процедуры после заражения. что-то, по крайней мере, чтобы остановить распространение пожара. Заранее спасибо. hsawires 9 лет назад 0
@hsawires - лучший способ предотвратить этот тип заражения - это прекратить любое соединение с доменами, которые, как известно, обслуживают вредоносное программное обеспечение. Ваше текущее программное обеспечение безопасности не делает этого. Ramhound 9 лет назад 2
Вымогатель, о котором идет речь, на самом деле является трояном, написанным на C, а затем дважды упакованным с помощью упаковщика файлов UPX. Полезная нагрузка доставляется путем добавления его в конец gif-файла, чьи заголовки затем вынуждены кэшировать изображение. Затем пользователя страницы обманом заставляют выполнить крысу (троян удаленного доступа), которая затем смотрит в кеш (полученный из анализатора UA), извлекает упакованный код из конца gif и выполняет его на этом этапе. игра окончена, потому что теперь у вас есть платформа, которую можно использовать повторно, поэтому я рекомендую загружать файлы на чистый ПК. shawty 9 лет назад 2

Похожие вопросы