Ransomware *.aesir

Znany również jako: Aesir wirus
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware *.aesir

Czym jest *.aesir?

*.aesir to nowy wariant Locky. Oprócz drobnych aktualizacji jest on identyczny z .odin i *.thor. Deweloperzy dystrybuują ransomware poprzez wiadomości Spam (szkodliwe załączniki). Po infiltracji *.aesir szyfruje zapisane pliki (w sumie obierając za cel 456 rodzajów plików) za pomocą szyfrowania asymetrycznego. Zaszyfrowane pliki są zmieniane za pomocą wzoru "[8_losowych_znaków] - [4_losowych_znaków] - [4_losowe_znaki] - [4_losowe_znaki] - [12_losowych_znakow].aesir". Na przykład nazwa zaszyfrowanego pliku może zostać zmieniona na coś w stylu "F76FAA31-3A55-O591-3DDO-1A32C2HN051.aesir". Gdy pliki są zaszyfrowane, ransomware tworzy trzy pliki ("-INSTRUCTION.bmp", "_1-INSTRUCTION.html" and "-INSTRUCTION.html"), umieszcza je na pulpicie ofiary i zmienia tapetę pulpitu.

Wszystkie trzy pliki zawierają identyczną wiadomość informującą ofiary o szyfrowaniu. Mówi się, że odszyfrowanie jest możliwe tylko za pomocą klucza prywatnego. Niestety jest to prawda. Jak wspomniano powyżej *.aesir wykorzystuje algorytm szyfrowania asymetrycznego. Zatem podczas szyfrowanie generowany jest klucz publiczny (szyfrowania) i prywatny (deszyfrowania). Deszyfrowanie bez klucza prywatnego jest właściwie niemożliwe. W związku z tym, ponieważ jest on przechowywany na zdalnym serwerze kontrolowanym przez cyberprzestępców, ofiary są zmuszone do płacenia. W celu dokonania płatności użytkownik musi odwiedzić link przeglądarki Tor, gdzie znajdują się szczegółowe instrukcje. Cena wynosi 3 Bitcoiny (obecnie 1 Bitcoin kosztuje ~ 734 $). Niemniej jednak nie należy próbować kontaktować się z tymi osobami ani płacić okupu. Cyberprzestępcy często ignorują ofiary pomimo dokonanych płatności. Tym samym płacenie nie gwarantuje, że pliki zawsze zostaną rozszyfrowane. Istnieje wysokie prawdopodobieństwo, że zostaniesz oszukany. Niestety, nie istnieją narzędzia umożliwiające odzyskanie plików/systemu z kopii zapasowej. Dlatego też jedynym możliwym rozwiązaniem jest przywrócenie plików/systemu z kopii zapasowej.

Zrzut ekranu z wiadomością (tapetą) zachęcającą użytkowników do odwiedzenia strony internetowej w celu odszyfrowania ich zainfekowanych danych:

*.aesir decrypt instructions

Istnieją dziesiątki wirusów typu ransomware podobnych do *.aesir. Przykłady obejmują JohnyCryptor, CTB-Locker, Cerber i wiele innych. Wszystkie z nich zachowują się dokładnie tak samo: szyfrują pliki ofiary i żądają okupu. Większość tych wirusów używa szyfrowania asymetrycznego. Z tego powodu jedyną zauważalną różnicą jest wysokość okupu. Deweloperzy dystrybuują ransomware poprzez inne źródła pobierania (torrenty, eMule, strony z freeware do pobrania, strony z bezpłatnym hostingiem plików itp.), e-maile z wiadomościami Spam, fałszywe narzędzia aktualizacji oprogramowania oraz trojany. Z tego powodu należy być bardzo ostrożnym podczas pobierania plików i oprogramowania oraz otwierania plików dołączonych do wiadomości z podejrzanych adresów e-mail. Ponadto, zawsze upewnij się, aby na bieżąco aktualizować zainstalowane aplikacje i używać legalnego oprogramowania antywirusowego/antyspyware. Nieostrożne zachowanie i słaba wiedza często są przyczyną infekcji komputerowych. Dlatego kluczem do bezpieczeństwa komputerowego jest ostrożność.

Zrzut ekranu wiadomości "-INSTRUCTION.bmp":

*.aesir text file

Zrzut ekranu pliku html ransomware *.aesir ("_1-INSTRUCTION.html"):

*.aesir decrypt instructions

Tekst prezentowany w plikach html i bmp *.aesir:

$|$+$**

|+__.-
!!! WAŻNA INFORMACJA !!!

Wszystkie twoje pliki są zaszyfrowane przy użyciu szyfrowania RSA-2048 i AES-128.

Więcej informacji o RSA i AES można znaleźć tutaj:

hxxp://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxp://en.wikipedia.org/wiki/Advanced Encryption Standard
Odszyfrowanie twoich plików jest możliwe tylko za pomocą klucza prywatnego i programu deszyfrującego, który znajduje się na naszym tajnym serwerze.

Aby otrzymać klucz prywatny użyj jednego z linków:

Jeśli wszystkie adresy nie są dostępne, wykonaj następujące kroki:

1. Pobierz i zainstaluj przeglądarkę Tor:
hxxp: //www.torproject.org/download/download-easy.html

2. Po udanej instalacji, uruchom przeglądarkę i zaczekaj na inicjalizację.

3. Wpisz w pasku adresu: mwddgguaa5rj7b54.onion/D56F3331E80D9E17

4. Postępuj zgodnie z instrukcjami na stronie.

!!! Twoje osobiste ID: D56F3331E80D9E17 !!!
_$+=$.$-*$$$
+*-++|| *==_*-a-
__+$|+++-$-.+

Zrzut ekranu strony internetowej TOR*.aesir (strona Deszyfratora Locky):

*.aesir decrypt instructions

Tekst prezentowany na tej stronie internetowej:

Prezentujemy specjalne oprogramowanie - Locky Decryptor™ - które pozwala na odszyfrowanie i odzyskanie wszystkich zaszyfrowanych plików.

Jak kupić Locky Decryptor™?

Możesz dokonać płatności za pomocą Bitcoinów. Istnieje wiele sposobów, aby je zdobyć.

Należy zarejestrować portfel Bitcoin:

Najprostszy portfel online lub inne metody tworzenia portfela

Kup Bitcoiny. Choć nie jest jeszcze łatwo kupić Bitcoiny, z każdym dniem staje się to coraz prostsze.

Wyślij 3.00 BTC na adres Bitcoin: 1BkR8zL6jAn8zcF4t6FM85DYLFG1dZ12ip

Uwaga: Potwierdzenie płatności zajmuje do 30 minut lub więcej, prosimy o cierpliwość...

Odśwież stronę i pobierz deszyfrator.

Gdy otrzymamy potwierdzenie transakcji Bitcoin, zostaniesz przekierowany do strony w celu pobrania deszyfratora.

Zrzut ekranu plików zaszyfrowanych przez ransomware *.aesir: wzór "[8_losowych_znaków]-[4_losowe_znaki]-[4_losowe_znaki]-[4_losowe_znaki]-[12_losowych_znaków].aesir"):

*.aesir decrypt instructions

Usuwanie ransomware *.aesir:

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem aesir. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.


Download program do usuwania Aesir wirus
1) Pobierz i zainstaluj   2) Uruchom skanowanie systemu   3) Ciesz się swoim czystym komputerem!

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Reimage.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware aesir).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki aesir.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty aesir są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez aesir możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i Malwarebytes Anti-Ransomware, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak aesir.)

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta używa zaawansowanej proaktywnej technologii, która monitoruje aktywność ransomare i natychmiast ją zatrzymuje – zanim dotrze do plików użytkownika.

malwarebytes anti-ransomware

  • Najlepszym sposobem na uniknięcie zniszczeń spowodowanych infekcjami ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji o internetowych rozwiązaniach kopii zapasowych i oprogramowaniu o odzyskiwaniu danych znajduje się Tutaj.

Inne narzędzia znane z usuwania ransomware aesir:

Źródło: https://www.pcrisk.com/removal-guides/10676-aesir-ransomware