Ransomware .Odin

Znany również jako: wirus .odin
Dystrybucja: Niska
Poziom zniszczenia: <strong>Silny</strong>

Opis Usuwanie Zapobieganie

Instrukcje usuwania ransomware Odin

Czym jest Odin?

Odin to nowa wersja ransomware Locky Cyberprzestępcy dystrybuują Odin poprzez złośliwe skrypty dołączone do Spamu. Gdy ofiara uruchamia skrypt, pobrany zostaje złośliwy plik. Następnie zostanie on zaszyfrowany i uruchomiony przy użyciu programu Windows (Rundll32.exe). Następnie ransomware rozpocznie szyfrowanie i zmianę nazw różnych typów plików (na przykład .doc, .ppt, .php, .html etc.) zapisanych na komputerze ofiary. Odin zachowuje się dokładnie tak samo jak jego poprzednia wersja (Locky). Jednak zamiast dodawania rozszerzenia ".locky" lub ".zepto", ta wersja dołącza rozszerzenie ".odin". Pliki są zmieniane za pomocą wzoru "[Victims ID]-[4 znaki]-[12 znaków].odin" (np. zaszyfrowana nazwa "przykład.jpg" zostanie zmieniona na coś w stylu "D56F3331-E80D-9E17-8D2A-1A11D40A6BD3.odin"). Po udanym szyfrowaniu, Odin tworzy trzy pliki ("_5_HOWDO_text.html", "_HOWDO_text.bmp" (ustawione jako tapeta pulpitu ofiary) oraz "_HOWDO_text.html") i umieszcza je na pulpicie ofiary.

Wszystkie trzy pliki zawierają dokładnie tę samą wiadomość z żądaniem okupu. Ofiary są informowane, że pliki są zaszyfrowane przy użyciu szyfrowania asymetrycznego. Oznacza to, że podczas szyfrowania generowane są dwa klucze (publiczny - szyfrowania i prywatny - deszyfrowania). Wiadomość stwierdza, że ​​klucz prywatny jest przechowywany na zdalnych serwerach kontrolowanych przez programistów Odin. Dlatego też w celu otrzymania tego klucza ofiary muszą odwiedzić jeden z podanych linków do Projektu Tor. Ofiary następnie otrzymają szczegółowe informacje dotyczące płatności. Należy pamiętać, że deszyfrowanie bez klucza prywatnego jest niemożliwe. Dlatego cyberprzestępcy próbują sprzedać narzędzia deszyfrowania (z wbudowanym kluczem prywatnym) za 3 Bitcoiny (obecnie warte ~ 1 811$). Wysokość okupu jest dość wysoka, ponieważ większość deweloperów ransomware żąda .5-1.5 Bitcoina. Niemniej jednak zdecydowanie radzimy ignorować wszystkie zachęty do zapłacenia okupu i skontaktowania się z tymi osobami. Wyniki badań pokazują, że cyberprzestępcy często ignorują ofiary, nawet jeśli one zapłacą. Z tego powodu istnieje wysokie prawdopodobieństwo, że zostaniesz oszukany. Płacenie jest równoznaczne z wysłaniem pieniędzy dla cyberprzestępców - po prostu wspiera ich szkodliwą działalność. Niestety, obecnie nie ma żadnych narzędzi zdolnych do złamania szyfrowania Odin, dlatego jedynym rozwiązaniem tego problemu jest przywrócenie plików/systemu z kopii zapasowej.

Zrzut ekranu z wiadomością zachęcającą użytkowników do kontaktu z twórcami ransomware Odin w celu odszyfrowania ich zaatakowanych danych:

Odin decrypt instructions

Odin ma bardzo podobne właściwości do setek innych wirusów typu ransomware, takich jak CrypMIC, Cry, Cerber i Philadelphia. W rzeczywistości, wszystkie wirusy tego typu są praktycznie identyczne. Są one przeznaczone do szyfrowania plików ofiary i żądania okupu. Większość używa algorytmu szyfrowania asymetrycznego, a więc jedyną zauważalną różnicą jest wysokość okupu. Najprawdopodobniej wirusy te są dystrybuowane za pośrednictwem poczty elektronicznej (Spam), szkodliwych załączników, sieci peer-to-peer (P2P), fałszywych narzędzi aktualizacji oprogramowania i koni trojańskich. Z tego powodu, użytkownicy powinni być bardzo ostrożni podczas otwierania plików otrzymanych od nierozpoznanych/podejrzanych adresów e-mail, a także podczas pobierania plików ze źródeł zewnętrznych (np. stron internetowych z freeware do pobrania). Bieżące aktualizowanie zainstalowanych aplikacji i korzystanie z uzasadnionych programów antywirusowych/antyspyware jest również bardzo ważne. Nieostrożne zachowanie i brak wiedzy są często główną przyczyną infekcji. Zatem kluczem do bezpieczeństwa komputerowego jest ostrożność.

Tekst prezentowany w plikach "_5_HOWDO_text.html", "_HOWDO_text.bmp" i "_HOWDO_text.html" Odin:

d=*-|==** __$$|$
.+.|.
|.=_=$-*$|-$|=|++-|+
!!! WAŻNA INFORMACJA!!!!

Wszystkie pliki są zaszyfrowane przy użyciu szyfrowania RSA-2048 i AES-128.

Więcej informacji o RSA i AES możesz znaleźć tutaj:

hxxp://en.wikipedia.org/wiki/RSA (system szyfrowania)
hxxp://en.wikipedia.org/wiki/Advanced Standard szyfrowania
Deszyfrowanie Twoich plików jest możliwe tylko za pomocą klucza prywatnego i programu deszyfrującego, który znajduje się na naszym tajnym serwerze.

Aby otrzymać klucz prywatny kliknij jeden z linków:

hxxps://jhomitevd2abj3fk.tor2web.org/D56F3331E80D9E17
hxxp://jhomitevd2abj3fk.onion.to/D56F3331E80D9E17
Jeśli adresy te nie są dostępne, wykonaj następujące kroki:

1. Pobierz i zainstaluj przeglądarkę Tor:
hxxps://www.torproject.org/download/download-easy.html

2. Po udanej instalacji, uruchom przeglądarkę i zaczekaj na inicjalizację.

3. Wpisz w pasku adresu: jhomitevd2abj3fk.onion/D56F3331E80D9E17

4. Postępuj zgodnie z instrukcjami na stronie.

!!! Twoje osobiste ID: D56F3331E80D9E17 !!!
=+_$ =** +.+
+=*_$.*.=_
=__|+-$|+*.=*$
=-.$

Zrzut ekranu pliku html ransomware Odin (_HOWDO_text.html):

Odin ransomware html file

Zrzut ekranu tapety pulpitu ransomware Odin:

Odin ransomware desktop wallpaper

Zrzut ekranu strony internetowej Tor ransomware Odin:

Odin ransomware website

Tekst prezentowany na stronie internetowej Odin:

Locky Decryptor™
Prezentujemy specjalne oprogramowanie - Locky Decryptor™- które pozwala na odszyfrowanie i przywrócenie kontroli nad wszystkimi zaszyfrowanymi plikami.

Jak kupić Locky Decryptor™

Możesz dokonać płatności za pomocą Bitcoinów. Istnieje wiele sposobów, aby je zdobyć.

Należy zarejestrować portfel Bitcoin:

Najprostszy portfel online lub wybrane inne metody tworzenia portfela

Kup Bitcoiny. Choć kupienie ich nie jest jeszcze łatwe, to z każdym dniem staje się prostsze.

Oto nasze rekomendacje:

localbitcoins.com (WU) Kup Bitcoiny z Western Union.

coincafe.com Zalecane do szybkiej, łatwej obsługi.

Metody płatności: Western Union, Bank of America, Gotówka przez FedEx, Moneygram, Money Order. W Nowym Jorku: bankomat Bitcoin, osobiście.

localbitcoins.com Usługa pozwalająca na wyszukiwanie osób w danej społeczności, które są gotowe sprzedać ci Bitcoiny bezpośrednio.

cex.io Kup Bitcoiny poprzez VISA/MasterCard lub przelewem.

btcdirect.eu Najlepszy dla Europy.

bitquick.co Kup Bitcoiny od razu za gotówkę.

howtobuybitcoins.info Katalog międzynarodowej wymiany Bitcoin.

cashintocoins.com Bitcoiny za gotówkę.

coinjar.com CoinJar umożliwia bezpośredni zakup Bitcoinów na ich stronie.

anxpro.com

bittylicious.com

Wyślij 3.00 BTC na adres Bitcoin: 1BkR8zL6jAn8zcF4t6FM85DYLFG1dZ12ip

Uwaga: Płatność może potrwać do 30 minut lub więcej dla potwierdzenia transakcji, prosimy o cierpliwość...

Odśwież stronę i pobierz deszyfrator.

Gdy transakcje Bitcoin otrzyma jedno potwierdzenie, użytkownik zostanie przekierowany do strony w celu pobrania deszyfratora.

Zrzut ekranu plików zaszyfrowanych przez ransomware Odin (wzór "[Victims ID]-[4 znaki]-[12 znaków].odin"):

Odin ransomware encrypting victim's files

Przykład wiadomości dystrybuującej ransomware Odin:

Od: "Melody"
Do: ******
Temat: Wymagane dokumenty
Data: Środa, 28. września 2016 14:04:22
Drogi ******,
W załączeniu przesyłamy wymagane dokumenty.
Pozrawiamy,
Melody
Załącznik. Dok.(553).zip

Typy pików obierane za cel przez ransomware Odin:

.7zip, .aac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .ARC, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .css, .csv, .CSV, .d3dbsp, .dac, .das, .dat, .db_journal, .dbf, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .DOC, .docb, .docm, .docx, .dot, .DOT, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (Security copy), .msg, .myd, .MYD, .MYI, .ndd, .ndf, .nef, .NEF, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .PAQ, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .PPT, .pptm, .pptx, .prf, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .RTF, .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .SQLITE3, .sqlitedb, .SQLITEDB, .srf, .srt, .srw, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wks, .wma, .wmv, .wpd, .wps, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip

Usuwanie ransomware Odin:

Szybkie menu: Szybki sposób na usunięcie .odin

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

 

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem Odin. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.


DOWNLOAD
Program do usuwania .odin

Pobierając wymienione na tej stronie oprogramowanie zgadzasz się z naszą Polityką prywatności i Regulaminem. Bezpłatny skaner SpyHunter służy wykryciu malware. Aby usunąć wykryte infekcje, należy zakupić pełną wersję tego produktu. Więcej informacji na temat SpyHunter. Jeśli chcesz odinstalować SpyHunter, podążaj za tymi instrukcjami. Wszystkie polecane przez nas produkty zostały dokładnie przetestowane i zatwierdzone przez naszych techników, jako jedne z najbardziej efektywnych rozwiązań dla usunięcia tego zagrożenia.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Odin).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Odin.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Odin są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Odin możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Odin.)

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

EasySync CryptoMonitor - zabija infekcje szyfrowania i wpisuje na czarne listy przed ponownym uruchomieniem:

cryptomonitor ransomware prevention application

Inne narzędzia znane z usuwania ransomware Odin:

Nasze przewodniki usuwania malware są bezpłatne. Jednak, jeśli chcesz nas wesprzeć, możesz przesłać nam dotację.