Ransomware GoldenEye

Znany również jako: GoldenEye wirus
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware GoldenEye

Czym jest GoldenEye?

GoldenEye to kombinacja wirusów typu ransomware Petya i MISCHA. Podobnie jak w przypadku Petya i Mischa, GoldenEye jest również dystrybuowane za pomocą wiadomości e-mail spam. E-mail ten dostarcza fałszywą ofertę pracy z tekstem w języku niemieckim i dwa dołączone pliki. Jednym z nich jest fałszywe CV, a drugim złośliwy plik MS Excel. Gdy plik Excel zostanie otworzony, pojawia się okno pop-up z prośbą, aby "włączyć makra". Jeśli użytkownik włączy te polecenia makro, plik Excel wygeneruje plik wykonywalny i uruchomi ransomware.

MISCHA i Petya różnią się tym, że MISCHA szyfruje tylko niektóre pliki, a Petya szyfruje sam dysk (w ten sposób uniemożliwia prawidłowe korzystanie z komputera). GoldenEye jednak wykonuje oba te zadania. Ransomware Petya zostało zaprojektowane, aby przeniknąć do systemu i próbować nadpisać jego MBR (Master Boot Record). Aby to zrobić, Petya musi uzyskać uprawnienia administratora. Jeśli użytkownik odrzuci te uprawnienia, proces szyfrowania się zatrzyma. Jeśli jednak uprawnienia zostaną udzielone, Petya dokona modyfikacji MBR z własnym uruchomieniem systemu. Petya automatycznie restartuje komputer, wyświetla ekran fałszywej kontroli dysku (CHKDSK) i szyfruje w tle dysk twardy. Następnie wyświetla wiadomość z żądaniem okupu przy użyciu ASCII Text Art. Wiadomość zostanie tymczasowo wyświetlona podczas uruchamiania komputera. Z kolei MISCHA nie modyfikuje MBR – ono po prostu szyfruje pliki. Takie zachowanie jest bardzo często spotykane w przypadku zwykłych wirusów typu ransoware. GoldenEye wykonuje te czynności w odwrotnej kolejności: szyfruje dane i dopiero potem próbuje zmodyfikować MBR, zapobiegając w ten sposób zatrzymaniu procesu szyfrowania przez ofiary (odbierając uprawnienia). Po udanym szyfrowaniu, GoldenEye wyświetla również podobną wiadomość z żądaniem okupu. Ponadto GoldenEye tworzy plik tekstowy ("YOUR_FILES_ARE_ENCRYPTED.txt"), zawierającą identyczną wiadomość i umieszcza go w niektórych folderach (np. Pulpit, Moje dokumenty itp.). Ponadto GoldenEye dołącza osiem losowych znaków do nazwy każdego zaszyfrowanego pliku (na przykład "sample.jpg" może zostać zmieniona na "sample.jpg.g8k3jmol"). Wiadomość informuje ofiary o szyfrowaniu i żąda zapłaty okupu w wysokości 1.31034193 Bitcoina (około 1 000 dolarów) w zamian za odszyfrowanie. W celu uiszczenia zapłaty ofiary muszą postępować zgodnie z instrukcjami podanymi na stronie internetowej GoldenEye Tor (link znajduje się w wiadomości z żądaniem okupu). Uwaga: płacenie nie gwarantuje, że pliki będą zawsze zostaną rozszyfrowane. Badania pokazują, że cyberprzestępcy często ignorują ofiary pomimo dokonanych wpłat. Dlatego nigdy nie należy próbować kontaktować się z tymi ludźmi ani płacić okupu. Obecnie brak jest narzędzi zdolnych do przywrócenia plików zaszyfrowanych przez GoldenEye, jednak naukowcy bezpieczeństwa opracowali narzędzie, które odszyfrowuje pliki zaszyfrowane przez Petya. Sytuacja ta może się zmienić, ale na razie użytkownicy mogą rozwiązać ten problem jedynie poprzez przywrócenie swoich plików/systemu z kopii zapasowej. Jeśli GoldenEye zmodyfikował MBR systemu, przywrócenie z kopii zapasowej nie będzie skuteczne.

Zrzut ekranu z czaszką (sporządzoną z wykorzystaniem ASCII Text Art) wyświetlaną po zaszyfrowaniu:

GoldenEye decrypt instructions

Istnieją setki wirusów typu ransomware. Przykłady obejmują Dharma, CTB-Locker, *.osiris, ASN1, Cerber i wiele innych. Wszystkie szyfrują pliki i żądają okupu. Istnieją tylko dwie zasadnicze różnice: 1) wysokość okupu i 2) użyty algorytm szyfrowania (symetryczny/asymetryczny). Badania pokazują również, że wirusy te są często dystrybuowane za pomocą wiadomości Spam (szkodliwych załączników), sieci peer-to-peer i innych źródeł pobierania stron trzecich (stron internetowych z freeware do pobrania, stron z bezpłatnym hostingiem plików, darmowy hosting plików itp.), nieoficjalnych źródeł pobierania oprogramowania i koni trojańskich. W związku z tym należy zachować ostrożność przy otwieraniu plików otrzymanych od podejrzanych e-maili i pobierania oprogramowania z nieoficjalnych źródeł. Cyberprzestępcy są zdolni do wykorzystywania błędów/wad oprogramowania w celu zainfekowania systemu. Dlatego na bieżąco aktualizuj zainstalowane aplikacje i nigdy nie używaj żadnych narzędzi aktualizacji stron trzecich. Korzystanie z legalnych programów antywirusowych/antyspyware jest również niezbędne.

Ransomware GoldenEye żądające uprawnień administratora:

GoldenEye asking for admin permissions (sample 1) GoldenEye asking for admin permissions (sample 2)

Zrzut ekranu pliku tekstowego GoldenEye (YOUR_FILES_ARE_ENCRYPTED.txt):

GoldenEye text file

Tekst prezentowany w pliki tekstowym GoldenEye:

Stałeś się ofiarą ransomware GoldenEye!

Pliki na komputerze zostały zaszyfrowane przy użyciu algorytmu szyfrowania klasy wojskowej. Nie ma sposobu, aby je odzyskać bez specjalnego klucza. Można zakupić ten klucz na tajnej stronie przedstawionej w punkcie 2.

Aby zakupić klucz i odzyskać dane należy wykonać trzy proste kroki:

1. Pobierz przeglądarkę Tor z "hxxps://www.torproject.org/". Jeśli potrzebujesz pomocy, prosimy wygoogluj "access onion page".

2. Odwiedź jedną z następujących stron w przeglądarce Tor:

hxxp://golden5a4eqranh7.onion/oTmqRcKj hxxp://goldeny4vs3nyoht.onion/oTmqRcKj
3. Wpisz tam swój osobisty kod deszyfrowania: oTmqRcKj6ZvwAsqewqzYz9t8smYzWLaAzsvjQ5YX8JY53FKv5nAHc7W9L4VFnwSGd8Dw4rVi2nfkPGSX39mwCerLst1Tw4vb

Zrzut ekranu wiadomości z błędem wyświetlanej przed ponownym uruchomieniem komputera:

GoldenEye fake error

Fałszywy CHKDSK wyświetlany podczas szyfrowania:

GoldenEye faking check disk task

Tekst prezentowany na tym ekranie:

Naprawa systemu plików na dysku C:

Typ systemu plików w systemie NTFS

Jeden z dysków zawiera błędy i musi zostać naprawiony. Proces ten może potrwać kilka godzin. Zaleca się, aby pozwolić na jego zakończenie.

UWAGA: Nie wyłączaj komputera PC! Jeśli przerwiesz proces możesz zniszczyć wszystkie swoje dane! Upewnij się, że twój przewód zasilania jest włączony!

Naprawa sektora CHKDSK - z -

Zrzut ekranu wyświetlanego podczas szyfrowania:

GoldenEye screen after encryption

Zrzut ekranu wiadomości GoldenEye wymagającej okupu:

GoldenEye ransom-demanding message

Tekst prezentowany na tym ekranie:

Stałeś się ofiarą RANSOMWARE GOLDENEYE!

Dysk twardy twojego komputera został zaszyfrowany przy użyciu algorytmu szyfrowania klasy wojskowej. Nie ma sposobu, aby je odzyskać bez specjalnego klucza. Można zakupić ten klucz na tajnej stronie przedstawionej w punkcie 2.

Aby zakupić klucz i odzyskać dane należy wykonać trzy proste kroki:

1. Pobierz przeglądarkę Tor z "hxxps://www.torproject.org/". Jeśli potrzebujesz pomocy, prosimy wygoogluj "access onion page".

2. Odwiedź jedną z następujących stron w przeglądarce Tor:

hxxp://golden5a4eqranh7.onion/oTmqRcKj hxxp://goldeny4vs3nyoht.onion/oTmqRcKj
3. Wpisz tam swój osobisty kod deszyfrowania tutaj: -
Jeżeli już zakupiłeś klucz, wpisz go tutaj.

Zrzut ekranu strony internetowej GoldenEye (Płatność - Krok 1):

GoldenEye website (Payment step 1)

Tekst prezentowany na tej stronie:

Krok 1: Wpisz swój osobisty identyfikator

Najpierw musisz wprowadzić swój osobisty identyfikator. Kod ten zawiera ważne informacje dotyczące procesu deszyfrowania. Ważne jest, aby wprowadzić go dokładnie tak, jak jest pokazany na zaszyfrowanym komputerze. Kod zawiera sumę kontrolną, która zapobiega literówkom i gwarantuje udane odszyfrowanie.

Osobisty identyfikator ma długość 96 znaków i można go znaleźć w plikach "YOUR_FILES_ARE_ENCRYPTED.TXT", które ransomware utworzyło w kilku miejscach na komputerze (np. Pulpit, Dokumenty).

Zrzut ekranu strony internetowej GoldenEye (Płatność - Krok 2):

GoldenEye website (Payment step 2)

Tekst prezentowany na tej stronie:

Krok 2: Kup Bitcoiny

Twój klucz deszyfrujący można kupić tylko za Bitcoiny. Bitcoin to cyfrowa waluta, która może być wymieniana za prawie każdą normalną walutę. Istnieje wiele platform wymiany walut w Internecie, a większość z nich specjalizuje się w jednej walucie. Dziś zakup Bitcoinów online jest bardzo łatwy i z każdym dniem coraz prostszy!

Musisz zakupić co najmniej kwotę znajdującą się poniżej. Zaleca się, aby zakupić nieco więcej w celu zapewnienia udanej zapłaty. Dodatkowe 2% powinno wystarczyć. Jeśli posiadasz już wystarczającą kwotę Bitcoinów, możesz pominąć ten krok.

Zapotrzebowanie: 1.31034193 Bitcoina

Polecane są poniższe giełdy i sklepy:

http://www.bitcoin.de – SZYBKI przelew bankowy!
http://www.btcdirect.eu - Sofort Banking, Giropay, Bank Wire, Mastercard i Visa
http://www.localbitcoins.com – Przelew bankowy i gotówka
http://www.coincafe.com – Natychmiast w Nowym Jorku, przelew bankowy i gotówka na poczcie, przelew bankowy i karta kredytowa
Nie jest wymagane posiadanie żadnego portfela Bitcoin. Można przenieść zakupione Bitcoiny bezpośrednio na adres płatności. Jeśli chcesz utworzyć portfel, polecamy się http://www.blockchain.com.

Jeśli pomyślnie zakupiłeś odpowiednią ilość Bitcoinów, kliknij "Dalej", aby przejść do następnego etapu.

Zrzut ekranu strony internetowej GoldenEye (Płatność - Krok 3):

GoldenEye website (Payment step 3)

Tekst prezentowany na tej stronie:

Krok 3: Zrealizuj transakcję Bitcoin

Teraz musisz wysłać zakupione Bitcoiny na adres płatności. Jeśli właśnie zakupiłeś Bitcoiny na stronie wymiany lub sklepie, poszukaj sekcji "Wypłata" i wprowadź podane poniżej dane. Jeśli posiadasz już Bitcoiny, wyślij odpowiednią ilość na poniższy adres płatności, bezpośrednio z portfela, którego używasz.

Jeśli masz jakiekolwiek problemy z transakcją, skontaktuj się z naszym działem obsługi.

Adres: 1CwCMCS6GUJuz45x1LrqPWAuE41cMK7FtQ

Zapotrzebowanie: 1.31034193 Bitcoina

Po dokonaniu transakcji płatniczej trzeba poczekać, aż zostanie ręcznie potwierdzona. Proces ten trwa zwykle kilka godzin. W niektórych rzadkich przypadkach niektóre płatności potrzebują więcej czasu na potwierdzenie. Odśwież stronę, aby zobaczyć, czy płatność została potwierdzona.

Zrzut ekranu strony internetowej GoldenEye (FAQ):

GoldenEye website (FAQ)

Zrzut ekranu strony internetowej GoldenEye (Wsparcie):

GoldenEye website (Support)

Pliki zaszyfrowane przez GoldenEye (rozszerzenie ".[8_losowych_znaków]"):

GoldenEye decrypt instructions

Usuwanie ransomware GoldenEye:

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem GoldenEye. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.


Download program do usuwania GoldenEye wirus

Pobierając wymienione na tej stronie oprogramowanie zgadzasz się z naszą Polityką prywatności i Regulaminem. Wszystkie polecane przez nas produkty zostały dokładnie przetestowane i zatwierdzone przez naszych techników, jako jedne z najbardziej efektywnych rozwiązań dla usunięcia tego zagrożenia.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware GoldenEye).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki GoldenEye.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty GoldenEye są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez GoldenEye możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i Malwarebytes Anti-Ransomware, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak GoldenEye.)

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta używa zaawansowanej proaktywnej technologii, która monitoruje aktywność ransomware i natychmiast ją zatrzymuje - zanim dotrze do plików użytkownika:

malwarebytes anti-ransomware

  • Najlepszym sposobem na uniknięcie zniszczenia spowodowanego infekcjami malware jest regularne tworzenie kopii zapasowych. Więcej informacji dotyczących rozwiązań kopii zapasowych online oraz odzyskiwania danych można znaleźć Tutaj.

Inne narzędzia znane z usuwania ransomware GoldenEye: