Ransomware Samsam

Znany również jako: SamSam (wirus)
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware Samsam

Czym jest Samsam?

Samsam to ransomware wysokiego ryzyka przeznaczone do infekowania niezabezpieczonych serwerów i szyfrowania plików przechowywanych na komputerach w sieci na zainfekowanym serwerze. To ransomware jest rozprowadzane ręcznie. Samsam dołącza do nazwy każdego zaszyfrowanego pliku jedno z następujących rozszerzeń: .encryptedAES, .encryptedRSA, .encedRSA, .justbtcwillhelpyou, .btcbtcbtc lub .btc-help-you - zależy ono od wersji ransomware. Samsam wykorzystuje algorytm szyfrowania asymetrycznego RSA-2048, a więc w czasie szyfrowania generowane są dwa klucze (publiczny i prywatny) – publiczny do zaszyfrowania, a prywatny do odszyfrowania. Cyberprzestępcy ​​żądają zapłaty okupu w zamian za klucz prywatny. Przywrócenie plików bez tego klucza jest niemożliwe. Po zaszyfrowaniu plików, Samsam automatycznie odinstalowuje się z komputera ofiary.

Cyberprzestępcy wykorzystują różne narzędzia (na przykład Jaxboss) w celu identyfikacji serwerów, które używają produktów firmy Red Hat's JBoss. Oprócz szyfrowania plików, Samsam gromadzi szczegółowe informacje o podłączonych do sieci komputerach. Podczas szyfrowania Samsam tworzy plik HHTML wymagający okupu HTML okupu wymagających nazwie 'HELP_DECRYPT_YOUR_FILES.HTML', umieszczając go na pulpicie. Ten plik zawiera komunikat informujący, że pliki na komputerach w sieci zostały zaszyfrowane i że ofiary muszą zapłacić okup w wysokości 1 Bitcoin na zainfekowany komputer. Plik zapewnia instrukcje krok po kroku dotyczące płatności. Dlatego radzimy Ci odłączyć zainfekowany serwer od sieci po stwierdzeniu obecności ransomware. W ten sposób będziesz mógł zapobiec dalszej infekcji. Obecnie 1 Bitcoin jest równoważny 446,9 $, a w ten sposób okup dla dużej sieci komputerowej może wynieść tysiące dolarów. Niestety, obecnie nie ma żadnych narzędzi będących w stanie przywrócić pliki zaszyfrowane przez Samsam - klucz prywatny jest przechowywany na zdalnych serwerach kontrolowanych przez cyberprzestępców i deszyfrowanie jest niemożliwe. Dlatego jedynym rozwiązaniem tego problemu jest przywrócenie plików z kopii zapasowej.

Zrzut ekranu z komunikatem zachęcającym użytkowników do kontaktu z twórcami ransomware Samsam w celu odszyfrowania ich zaatakowanych danych:

Samsam decrypt instructions

Chociaż większość ransomware nie jest rozprowadzana ręcznie (zwykle infiltrują systemy poprzez fałszywe aktualizacje oprogramowania, zainfekowane załączniki e-mail, szkodliwe pliki rozpowszechniane za pośrednictwem sieci P2P [peer-to-peer] [takich jak Torrent] i/lub trojany), Samsam dzieli wiele podobieństw z CryptoWall, CTB-Locker, Locker i dziesiątkami innych wirusów typu ransomware. Wszystkie pliki ofiar są zaszyfrowane i wymaga się okupu. Jedyną różnicą jest jego wysokość oraz rodzaj wykorzystywanego algorytmu szyfrowania. Zauważ, że pliki najprawdopodobniej pozostaną zaszyfrowane nawet po zapłaceniu okupu. Dlatego nigdy nie należy próbować kontaktować się z cyberprzestępcami lub płacić okupu. Aby zapobiec takiej sytuacji, należy na bieżąco aktualizować zainstalowane oprogramowanie. Ponadto należy zachować ostrożność podczas otwierania załączników wysyłanych z nierozpoznanych adresów e-mail i pobierania plików/programów otrzymanych ze źródeł zewnętrznych. Korzystanie z legalnego oprogramowania antywirusowego lub antyspyware jest najważniejsze.

Wiadomość Samsam żądająca okupu (HELP_DECRYPT_YOUR_FILES.HTML):

Samsam ransom demanding message

Wiadomość wymagająca okupu prezentowana w pliku HELP_DECRYPT_YOUR_FILES.HTML:

#Co stało się z twoimi plikami?

Wszystkie twoje ważne pliki zostały szyfrowane przy użyciu RSA-2048, RSA-2048 - potężnego algorytmu kryptograficznego. Aby uzyskać więcej informacji możesz użyć Wikipedii.

*Uwaga. Nie wolno zmieniać ani edytować zaszyfrowanych plików, ponieważ nie będzie można ich odszyfrować.

 

#Jak odzyskać pliki?

RSA jest algorytmem szyfrowania asymetrycznego i potrzebne są dwa klucze

1 – klucz publiczny: potrzebny do zaszyfrowania

2 – klucz prywatny: potrzebny do deszyfrowania

Potrzeba zatem klucza prywatnego do odzyskania plików. Nie jest możliwe odzyskanie plików bez klucza prywatnego.

 

# Jak uzyskać klucz prywatny?

Możesz otrzymać klucz prywatny w 3 prostych krokach:

Krok 1: Musisz nam wysłać przesłać 1 Bitcoin za każdy zainfekowany PC w celu otrzymania klucza prywatnego.

Krok 2: Po wysłaniu nam 1 Bitcoina, zamieść komentarz na naszym blogu z tymi danymi: twój numer transakcji Bitcoin + nazwa komputera.

 

#Co to jest Bitcoin?

Bitcoin to innowacyjna sieć płatności i nowy rodzaj pieniędzy. Możesz utworzyć konto Bitcoin na hxxp://blockchain.info i wpłacić pieniądze na konto, a następnie wysłać je do nas.

 

# Jak kupić Bitcoin?

Istnieje wiele sposób, aby kupić Bitcoin i przesłać je na swoje konto. Możesz kupić je poprzez Western Union, przelew bankowy, międzynarodowy przelew bankowy, lokatę pieniężną itp. Jeśli chcesz płacić z firmowego konta bankowego, powinieneś utworzyć konto firmowe, ponieważ zapłata od osoby trzeciej nie jest przyjmowana.

 

# Jak znaleźć numer referencyjny transakcji Bitcoin?

Zaloguj się na swoje konto Blockchain -> przejdź do zakładki "Moje transakcje" -> Kliknij Transakcje -> Na stronie "Podsumowanie transakcji" Znajdź "hash" o długości 64 znaków. Wyślij nam ten hash ze swoim komentarem na naszym blogu + nazwą komputera.

Typy danych obierane za cel przez ransomware Samsam:

.jin, .xls, .xlsx, .pdf, .doc, .docx, .ppt, .pptx, .txt, .dwg, .bak, .bkf, .pst, .dbx, .zip, .rar, .mdb, .asp, .aspx, .html, .htm, .dbf, .3dm, .3ds, .3fr, .jar, .3g2, .xml, .png, .tif, .3gp, .java, .jpe, .jpeg, .jpg, .jsp, .php, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .kbx, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asx, .avi, .awg, .back, .backup, .backupdb, .pbl, .bank, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .phtml, .php5, .cs, .csh, .csl, .tib, .csv, .dac, .db, .db3, .db .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .dot, .docm, .dotm, .dotx, .drf, .drw, .dtd, .dxb, .dx f, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fmb, .fhd, .fla, .flac, .flv, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .or f, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pef, .pem, .pfx, .pl, .plc, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .pptm, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .vob, .war, .wallet, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xlsb, .xlsm, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv

Usuwanie ransomware Samsam:

Natychmiastowe automatyczne usunięcie SamSam (wirus): Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się SamSam (wirus). Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

 

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem Samsam. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Samsam).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Samsam.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Samsam są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Samsam możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

 Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i Malwarebytes Anti-Ransomware, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Samsam.)

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta używa zaawansowanej proaktywnej technologii, która monitoruje aktywność ransomare i natychmiast ją zatrzymuje – zanim dotrze do plików użytkownika.

malwarebytes anti-ransomware

  • Najlepszym sposobem na uniknięcie zniszczeń spowodowanych infekcjami ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji o internetowych rozwiązaniach kopii zapasowych i oprogramowaniu o odzyskiwaniu danych znajduje się Tutaj.

Inne narzędzia znane z usuwania ransomware Samsam:

Źródło: https://www.pcrisk.com/removal-guides/9992-samsam-ransomware