BUYUNLOCKCODE Ransomware entfernen

985
hsawires

In den letzten Wochen scheint eine Ransomware in Umlauf zu sein. Er verschlüsselt Datendateien und erstellt in allen Verzeichnissen, in denen eine Datei verschlüsselt wurde, eine BUYUNLOCKCODE.txt-Lösegeldforderung.

Diese buyunlockcode.txt-Datei enthält Anweisungen und eine E-Mail, die Sie kontaktieren müssen, um Zahlungsanweisungen zu erhalten. Bekannte E-Mail-Adressen sind nick.jameson@expressmail.dk und ChiuKhan@tom.com, die sich jedoch im Laufe der Zeit ändern werden. Zu diesem Zeitpunkt ist die Höhe des Lösegelds unbekannt.

Der Text der BUYUNLOCKCODE.txt lautet:

Hallo, deine ID = JSOXXXXXXXX

Alle wichtigen Dateien wurden mit dem RSA-1024-Verschlüsselungsalgorithmus codiert. Sie können sie nur wiederherstellen, indem Sie den eindeutigen Freischaltcode erwerben.

Warnung! Jeder Versuch, Dateien ohne unser "Spezialprogramm" wiederherzustellen, führt zu Datenschäden oder zum vollständigen Datenverlust. Sobald wir Ihre Zahlung erhalten haben, senden wir Ihnen ein spezielles Programm und Ihren eindeutigen Code, um Ihr System zu entsperren.

Garantie: Sie können eine der verschlüsselten Dateien per E-Mail versenden und wir entschlüsseln sie kostenlos als Beweis unserer Fähigkeiten.

Es hat keinen Sinn, die Polizei zu kontaktieren. Ihre Zahlung muss an die E-Wallet geleistet werden. Es ist unmöglich zu verfolgen. Verschwenden Sie nicht Ihre und unsere Zeit.

Wenn Sie also bereit sind, für die Wiederherstellung Ihrer Dateien zu zahlen, antworten Sie bitte auf diese E-Mail: ChiuKhan@tom.com

Dann senden wir Ihnen die Zahlungsanweisungen.

Hat jemand eine Idee, wie man dieses Problem lösen kann?

5
Wenn Ihre Dateien bereits verschlüsselt sind, haben Sie keine weiteren Optionen außer dem Bezahlen. Wenn Sie eine Offline-Sicherung Ihrer Dateien haben, ist dies eine Ihrer einzigen Optionen. Ramhound vor 9 Jahren 2
Es gibt keine Garantie, dass er mir nach der Bezahlung den Schlüssel sendet, und es gibt keine Garantie dafür, dass die Entschlüsselung ein Backdoor-Client ist. hsawires vor 9 Jahren 0
In all den Fällen, die ich mir angesehen habe, haben die Versender des Lösegelds tatsächlich ihr Versprechen erfüllt und alles gesandt, um die Verschlüsselung rückgängig zu machen. Die meisten dieser Banden betreiben diese Systeme tatsächlich wie ein Unternehmen und wollen daher von ihren Kollegen respektiert werden. Gruppen, die das tun und Leute verarschen, werden der Szene ziemlich schnell aus dem Weg geräumt, es gibt einen ziemlich strengen Ethik-Kodex unter allen, auch wenn das, was sie tun, eine sehr schlechte Sache ist. shawty vor 9 Jahren 2
@hsawires - Sie sind besorgt über einen Backdoor-Client, wenn Sie bereits infiziert sind. Die Meldung, die sie anzeigen, besagt, dass Sie bereits mit einer Infektion infiziert sind, die ihnen eine Hintertür zu Ihrem System bietet (da sie zusätzliche Payloads senden können). Ihre Besorgnis, Geld zu senden, ist berechtigt, wenn Sie keine Sicherungskopien dieser Dateien haben und der Verlust dieser Dateien größer ist als das, wonach sie verlangen, aber Sie haben keine andere Möglichkeit. Ramhound vor 9 Jahren 3
Trennen Sie das Gerät vom Netzwerk. Zahlen oder nicht - dieses Risiko liegt bei Ihnen. Dann überlegen Sie, wie Sie die Infektion bekommen haben und lernen Sie aus dem Fehler (wenn Sie wissen?). So oder so, nuke die Maschine, was bedeutet, eine vollständige Neuinstallation und dann, wie Ramound vorschlägt, deine Dateien von einem Backup beziehen. Denken Sie daran, dass Sie selbst wenn Sie den Virus entfernen, nicht wissen, was der Virus getan hat - ja, Sie wissen, ob verschlüsselte Dateien, aber Sie wissen nicht, ob er sonst noch etwas getan hat! Deshalb ist eine Neuinstallation so wichtig. Dave vor 9 Jahren 1
@ Thinkcʜιᴇ007 Ich denke, es ist völlig anders, da es sich nicht um einen "Virus" handelt, den wir entfernen können. es ist eine Art "Erpressung". und wie mit Konsequenzen umzugehen ist. hsawires vor 9 Jahren 0
@ hsawires, es ist ein Virus. Man muss bedenken, dass Leute wie techie007 (was wir in diesem Beruf sind) klasse sind, wie sh * t hot (daher sein Ruf und der Respekt, den er hier von "Stammgästen" bekommt) :). Welchen AV verwenden Sie? Dave vor 9 Jahren 0
@ Dave Norton Internet Security hsawires vor 9 Jahren 0
Norton Internet Security soll diese Art von Infektionen nicht verhindern. NIS ist gut für viele andere Dinge, aber das Verhindern, dass diese bösartige Datei ausgeführt wird, gehört nicht dazu. Ramhound vor 9 Jahren 0
Bitte schlagen Sie eine andere Sicherheitssuite vor. hsawires vor 9 Jahren 0
@hsawires - Wenn Ihre Konten keine Administratoren waren und Sie ShadowCopy aktiviert haben, ist es möglicherweise möglich, Ihre Dateien wiederherzustellen. Dateien, die mit einer ähnlichen Malware-Cryptowall verschlüsselt wurden, können mithilfe dieser Funktion wiederhergestellt werden. **Es ist einen Versuch wert.** Ramhound vor 9 Jahren 2
Löscht oder löscht diese Ransomware die Dateien, nachdem sie verschlüsselt wurden? Würde eine Suche nach freiem Speicherplatz etwas Wiederfindbares finden? Xen2050 vor 9 Jahren 0

2 Antworten auf die Frage

3
shawty

Ich fürchte, das ist keine gute Nachricht, aber es könnte einige Dinge geben, die Sie tun können, um zu helfen.

Als erstes müssen Sie das infizierte Betriebssystem offline nehmen.

Es gibt eine sehr gute Chance, dass die Täter nicht nur die Dateien verschlüsseln, sondern auch eine Software installiert haben, die beim Booten Ihres Betriebssystems geladen wird. Diese Software wird höchstwahrscheinlich so eingerichtet, dass sie die verschlüsselten Dateien überwacht, und falls Sie sind manipuliert und können entsprechende Maßnahmen ergreifen.

Was Sie brauchen, ist ein sauberer Windows-PC, der ohne vorhandene Infektionen hochfährt. Dann können Sie die Festplatte vom infizierten PC nehmen und in diesem sauberen PC installieren.

Sie müssen absolut sicherstellen, dass Sie KEINE Dateien auf der infizierten Festplatte ausführen. Dies bedeutet auch Word-Dokumente, HTML-Seiten, Java-Script-Dateien sowie offensichtliche wie EXE-Dateien.

Kopieren Sie die Dateien, die Sie wiederherstellen möchten (Mischen Sie sich nicht mit Betriebssystem- / Windows-Dateien oder Programmdateien, Sie werden diese später erneut installieren). Selbst wenn die Datei verschlüsselt ist, besteht die Möglichkeit, dass Sie den Verschlüsselungsschlüssel entdecken .

Sobald Sie die Dateien kopiert haben, die Sie versuchen und wiederherstellen möchten, trennen Sie die infizierte Festplatte, um das Virus auf den sauberen PC zu bekommen.

Wenn die wiederhergestellten Dateien nicht mehr als großartig verschlüsselt sind, sichern Sie sie sicher und löschen Sie die infizierte Festplatte gründlich, installieren Sie Windows und Ihre Apps erneut und kopieren Sie die wiederhergestellten Dateien zurück.

Wenn die wiederhergestellten Dateien verschlüsselt sind, müssen Sie herausfinden, wie und auf welche Weise Sie die Verschlüsselung möglicherweise rückgängig machen können.

Das Wichtigste dabei ist, die Dateien auf einen sauberen Computer zu laden. Dies ist zwar keine vollständige Lösung, aber Sie sollten zumindest in eine Position gelangen, in der Sie die Verschlüsselung überprüfen und versuchen können, die Verschlüsselung rückgängig zu machen, ohne befürchten zu müssen, Ihr Betriebssystem insgesamt zu verlieren .

Sobald Sie Ihre Dateien auf einem sauberen PC gespeichert haben, müssen Sie lediglich ein Programm finden, das mit RSA-1024 verschlüsselte Dateien entschlüsselt und verschiedene Codes verwendet, bis ein funktionierender Code gefunden wird.

Wenn Sie über Programmierkenntnisse verfügen, verfügt Windows über integrierte Betriebssystemroutinen im .NET-Framework, mit denen RSA-Daten unterschiedlichen Typs entschlüsselt werden können. Möglicherweise können Sie ein kleines Programm schreiben, das verschiedene Codes durchläuft.

Es wäre auch hilfreich, wenn Sie das Format von "A-Code" kennen, es ist nur eine gerade Zahl, ist es eine Folge von Zahlen und Buchstaben. Wenn Sie wissen, dass es immer 6-stellig ist, dann müssen Sie nur Kombinationen von 000000 bis 999999, sicher, dass es lange dauern wird, aber wenn Ihre Datei wichtig ist, ist die Zeit gut investiert.

Denken Sie auch daran, dass viele dieser kriminellen Banden Benutzer der Malware sind und nicht die Ersteller. Daher sind viele von ihnen nur "Business Minded" und wollen Geld verdienen. Dies bedeutet, dass sie sich darauf verlassen werden, was die Malware kann, aber im Allgemeinen Ich werde nicht in der Lage sein, etwas dazu zu bringen.

Das bedeutet, wenn Sie ihn herunterfahren können, dann entfernen Sie zumindest die Möglichkeit, die Situation weiter zu kontrollieren, und wenn Sie das getan haben, entfernen Sie im Allgemeinen die Fähigkeit, alles auf dem PC zu töten, wenn Sie nicht bezahlen.

Wenn Sie am Ende zahlen und einen Code und eine App zum Entfernen erhalten, geben Sie sie an einen anderen Ort weiter. Ich habe von einigen Fällen gehört, in denen derselbe Code aufgrund der Funktionsweise der Software mehrere Infektionen freischaltet Je mehr Codes und Entsperrungen wir in die Öffentlichkeit bringen, um zu versuchen, desto schwieriger wird es für diese Leute, die Leute willkürlich zu halten.

Zusammengefasst: Bevor Sie versuchen, irgendetwas zu tun, holen Sie Ihre Dateien auf einen sauberen PC. Erst dann können Sie vorankommen.

Nach meinem besten Wissen gibt es derzeit KEINE UNIVERSALEN FIX-Anweisungen, um diese Malware rückgängig zu machen. Es gibt Tools, um die Infektion zu entfernen, aber diese Tools lassen den Benutzer immer noch mit verschlüsselten Dateien.

Bitte sagen Sie mir nicht, dass Sie tatsächlich behaupten wollen, dass der Versuch, eine Passphrase mit unbekannter Länge brutal zu erzwingen, tatsächlich möglich ist? Diese Antwort ist zum größten Teil technisch nicht korrekt. Zum Beispiel kann die .NET-Anwendung die RSA-Verschlüsselung entschlüsseln. Dazu müssen Sie die Passphrase / den Schlüssel angeben. Ramhound vor 9 Jahren 7
Tatsächlich bin ich ja, was ist falsch daran, Gewalt zu versuchen? Gar nichts. Es mag lange dauern, aber Anwendungen wie John the Ripper, der auf einer geeigneten GPU läuft, können von ein paar Hundert bis zu einigen tausend Versuchen pro Sekunde ausgeführt werden. Ich weiß, weil ich es ausprobiert habe und noch mehr hatte auch nur einen begrenzten Erfolg, nicht bei diesem Fall, aber sicherlich bei ähnlichen Problemen mit verschlüsselten Dateien. Lassen Sie uns davon ausgehen, dass Ihre .NET-Anwendung keine RSA-Entschlüsselung durchführen kann. Tut mir leid, das sagen zu müssen, aber Sie liegen falsch. (weiter) shawty vor 9 Jahren 0
Ich programmiere das .NET Framework seit etwa 1999 und war sowohl im Alpha- als auch im Betateam. Der System.Cryptography-Namespace bietet eine Vielzahl von Funktionen für alles von Kerberos bis MD5 und darüber hinaus. Einige Schemata sind eine Möglichkeit, stimme ich zu, aber wenn Sie die Bereitschaft und die Geduld und die Zeit haben, ein Programm zu schreiben, um verschiedene Tastenkombinationen zu durchlaufen, ist dies sicherlich möglich. In der Tat könnten Sie über einige Dinge überrascht sein, die mit der aktuellen Version 4.5 und Version 6 des C # -Compilers möglich sind. shawty vor 9 Jahren 0
Ich habe nicht gesagt, dass Sie es ohne die Passphrase entschlüsseln könnten. Sie versuchen das zu sagen, indem Sie meine Worte verdrehen. Ich sagte, es ist durchaus möglich, es mit einer linearen Interpolation über eine Tastenfolge zu versuchen. Was Ihre Aussage angeht, dass dies keine Lösung ist, glaube ich zufällig, dass es zumindest eine Teillösung ist. Wenn Sie eine bessere Lösung haben, dann fügen Sie sie als Antwort hinzu, anstatt dumme kindliche Kämpfe mit anderen Leuten über Kommentare auszusuchen. shawty vor 9 Jahren 0
Ich sehe keine Probleme beim Versuch, jedoch ist eine Passphrase eine Passphrase. Ich habe nie gesagt, dass sie erfolgreich sein würde, und ich habe nie gesagt, dass es einfach sein würde. Ich habe sie als Teillösung angeboten. Sie haben vielleicht ein Problem mit einem Brute-Force-Ansatz, ich weiß es nicht und ich kenne viele andere, die dies jedoch nicht tun. Wenn Sie meinen Beitrag noch einmal lesen, werden Sie tatsächlich den Kern meines Ratschlags sehen Holen Sie die Dateien von der infizierten Festplatte, reinigen Sie die Festplatte, dann haben Sie zumindest eine möglicherweise saubere Plattform, auf der Sie arbeiten können. shawty vor 9 Jahren 0
RSA wurde vor Jahren gebrochen. Es gibt optimierte Algorithmen und spezielle Hardwarekonfigurationen, um dies zu beschleunigen. Durch die Verwendung mehrerer Maschinen können Sie Regenbogentische in der Art von L0pht-Crack erzeugen, um die Sache zu beschleunigen. Stevetech vor 9 Jahren 0
RSA wurde vor Jahren gebrochen. Es gibt optimierte Algorithmen und spezielle Hardwarekonfigurationen, um dies zu beschleunigen. Durch die Verwendung mehrerer Maschinen können Sie Regenbogentische in der Art von L0pht-Crack erzeugen, um die Sache zu beschleunigen. Stevetech vor 9 Jahren 3
Lesen Sie diese http://security.stackexchange.com/questions/47497/4096-bit-rsa-encryption-cracked RSA wurde bei zahlreichen Gelegenheiten gebrochen. Es ist nicht trivial, aber es kann gemacht werden. Stevetech vor 9 Jahren 3
Soweit ich sehen kann, gibt es in meinem Beitrag keine Ungenauigkeiten. Das Einzige, was hier vorherrscht, ist die Tatsache, dass Sie mit dem, was ich sage, nicht einverstanden sind. Nichts davon ist in irgendeiner Form oder Form technisch ungenau. Ich stimme dem nicht zu, ich bin damit einverstanden, und da ich nur zu gut weiß, wird es immer Menschen geben, die mit meiner Sichtweise der Dinge nicht einverstanden sind, weil ich der Typ von Person bin, der glücklich ist, auf eine Gliedmaße zu gehen, bei der Gelegenheit, dass etwas passiert Vielleicht funktioniert einfach, KEINES davon ist jedoch technisch ungenau und es sei denn, Sie können mich tatsächlich auf einen technischen Artikel aus einer vertrauenswürdigen Quelle verweisen, der etwas anderes sagt shawty vor 9 Jahren 1
Wo muss ich nur zustimmen, wenn ich diesem Punkt nicht zustimmen möchte, weil ich Ihre Bedenken nicht als ohnehin gültige oder übergeordnete Angelegenheit akzeptiere. shawty vor 9 Jahren 0
3
Dave

Deine Frage ist

How to remove BUYUNLOCKCODE Ransomware

Die Antwort: Verwenden Sie ein Antivirenprogramm.

Ihr Beitrag hat jedoch andere Fragen. Sie haben keine Ahnung, was der Virus auf Ihrem Computer sonst hätte anstellen können. Nur weil Sie sehen können, dass die Dateien verschlüsselt sind, bedeutet dies nicht, dass Sie nichts anderes getan haben, von dem Sie derzeit nichts wissen.

Wenn die Dateien verschlüsselt sind, können Sie sie nicht zurückerhalten (ich verwende das Wort nicht locker, ich sollte höchst unwahrscheinlich sagen (fast unmöglich, vor allem ohne die richtige Ausrüstung und das richtige Wissen (und die Zeit)). Deshalb müssten Sie für den Schlüssel bezahlen, aber es besteht der Zweifel, dass Sie den Schlüssel auch dann erhalten, wenn Sie bezahlen. In der Regel liegt es jedoch in ihrem Interesse, die Dateien wiederherzustellen, da die Angreifer einen (ironisch) vertrauenswürdigen Ruf haben, den sie ihrem Wort treu bleiben (was bedeutet, dass andere Opfer dafür bezahlen).

Unabhängig davon, nachdem Sie die Dateien zurückerhalten haben oder nicht, müssen Sie den Computer löschen und neu formatieren. Stellen Sie dann die Dateien von einer Sicherungskopie wieder her (oder haben Sie von nun an immer eine Sicherungskopie).

Ich sollte auch darauf hinweisen, dass es sehr wichtig ist, den Computer aus dem Netzwerk zu entfernen, wenn er mit solchen Dingen infiziert wird, da sich diese Viren häufig leicht ausbreiten können.

so fa wie ich weiß. Es ist nicht das, was wir "Virus" nennen, wie es bekannt ist. Es ist eine Art Routineprogramm, die den Browser zum Ausführen der Verschlüsselungssoftware im System zum Verschlüsseln aller geöffneten Dokumente verwendet. aber Ihre Antwort hilft nicht beim "Entfernen", Ihre Antwort trägt dazu bei, den Schaden zu akzeptieren :). und es klingt, nur so zu sein. hsawires vor 9 Jahren 0
Sie können (soweit ich weiß) keine Dateien über den Browser verschlüsseln. Erstens ist es nicht möglich, Dinge wie JavaScript zu verwenden (HTML5 bietet einen Dateiupload, aber nur einen Upload). Ich denke, es könnte mit Exploits in Flash oder Java gemacht werden, aber das, was Sie beschrieben haben, hätte Ihren AV ausgelöst ... Obwohl es im Browser etwas wie ein Plugin sein könnte, ist dies IMO ein Virus (oder zumindest Malware (schädliche Software). Es tut mir leid, dass es keine guten Nachrichten für Sie gibt :( Dave vor 9 Jahren 2
Vielen Dank, Herr @Dave ... ist es möglich, einen Prozess zu schreiben, der eine solche Art von Malware schützt und besiegt? Sicherlich gibt es einige Vorsichtsmaßnahmen vor der Infektion und einige Verfahren nach der Infektion. Zumindest etwas, um die Verbreitung des Lauffeuers zu stoppen. Danke im Voraus. hsawires vor 9 Jahren 0
@hsawires - Der beste Weg, um diese Art der Infektion zu verhindern, ist der Stopp aller Verbindungen von Domänen, von denen bekannt ist, dass sie schädliche Software bedienen. Ihre aktuelle Sicherheitssoftware tut das nicht. Ramhound vor 9 Jahren 2
Bei der Ransomware handelt es sich eigentlich um einen Trojaner, der in C geschrieben und dann mit dem UPX-Dateipacker doppelt gepackt wurde. Die Payload wird geliefert, indem sie an das Ende einer GIF-Datei angehängt wird, deren Header dann gezwungen werden, das Bild zwischenzuspeichern. Der Benutzer der Seite wird dann dazu verleitet, eine Ratte (Remote Access Trojaner) auszuführen, die dann in den Cache schaut (erhalten vom Sniffing des Browser-UA) den gepackten Code vom Ende des GIFs abzieht und an dieser Stelle ausführt Das Spiel ist zu Ende, weil Sie jetzt eine Plattform haben, die wiederverwendbar ist. Deshalb empfehle ich, Dateien auf einen sauberen PC zu laden. shawty vor 9 Jahren 2