Ransomware SIGMA

Znany również jako: SIGMA virus
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware SIGMA

Czym jest SIGMA?

SIGMA to wirus typu ransomware odkryty przez badacza bezpieczeństwa malware, Michael Gillespie. To wysoce ryzykowne oprogramowanie jest dystrybuowane za pomocą wiadomości Spam, które zawierają komunikat informujący, że użytkownicy będą obciążeni kwotą ponad 3000 USD + z karty MasterCard, o ile nie otworzą załączonego dokumentu MS Office. Po otwarciu tego załącznika i wprowadzeniu podanego hasła, użytkownicy nieumyślnie wykonają skonfigurowane makra, które natychmiast wykonują szereg czynności w celu pobrania i uruchomienia ransomware SIGMA. Po infiltracji wirus ten szyfruje przechowywane dane przy użyciu szyfrowania RSA-2048 oraz dołącza cztery losowe litery/cyfry do nazwy każdego zaszyfrowanego pliku (np. nazwa "sample.jpg" może zostać zmieniona na nazwę pliku, na przykład "sample.jpg.Ka8E"). Natychmiast po zaszyfrowaniu SIGMA zmienia tapetę pulpitu i umieszcza na pulpicie dwa pliki ("ReadMe.html" i "ReadMe.txt").

Nowa tapeta na pulpicie zawiera krótką wiadomość zachęcającą ofiary do przeczytania nowych plików HTML/.txt, które zawierają szczegółowe informacje na temat bieżącej sytuacji i tego, co należy zrobić. Pliki HTML i .txt zawierają identyczną zawartość - stwierdzającą, że przechowywane pliki są zaszyfrowane i można je odzyskać tylko za pomocą unikalnego klucza odszyfrowywania wraz ze specjalnym narzędziem. Niestety ta informacja jest prawdziwa. Jak wspomniano powyżej, SIGMA używa algorytmu szyfrowania RSA-2048, który generuje klucz publiczny (szyfrowania) i prywatny (deszyfrowania). Ponieważ odzyskanie plików bez klucza prywatnego jest niemożliwe, przestępcy ukrywają go na serwerze zdalnym i żądają okupu, aby go otrzymać. Koszt klucza odszyfrowywania i związanego z nim narzędzia wynosi 1000 USD w Bitcoinach. Jednak komunikat stwierdza również, że koszt podwoi się po siedmiu dniach. W celu dokonania płatności użytkownicy są zachęcani do odwiedzenia strony Tor SIGMA i wykonania podanych instrukcji. Pamiętaj, że użytkownicy mogą korzystać z czatu na żywo XAMP, aby skontaktować się z cyberprzestępcami. Mogą także wysłać kilka plików do programistów SIGMA. Następnie przestępcy odszyfrują te pliki i odeślą je jako "gwarancję", że odszyfrowanie jest możliwe. Pamiętaj jednak, że cyberprzestępcom nie można ufać. Osoby te często ignorują ofiary po dokonaniu płatności. Nie ma gwarancji, że twoje pliki zostaną kiedykolwiek odzyskane i prawdopodobnie zostaniesz oszukany. Płacenie będzie po prostu wspierać złośliwe firmy cyberprzestępców, a ty nie otrzymasz nic w zamian. Dlatego zalecamy, aby zignorować wszystkie prośby o kontakt z tymi ludźmi lub zapłacenie okupu. Niestety, nie ma narzędzi zdolnych do złamania szyfrowania RSA-2048 i przywrócenia plików zainfekowanych SIGMA. Jedyną opcją jest przywrócenie plików/systemu z kopii zapasowej.

Zrzut ekranu z wiadomością zachęcającą użytkowników do zapłacenia okupu w celu odszyfrowania swoich zaatakowanych danych:

SIGMA decrypt instructions

Istnieją dziesiątki wirusów typu ransomware praktycznie identycznych z SIGMA. Na przykład, Powerful Hidden Tear, Relock, Teamo, GIBON i wiele innych. Chociaż wirusy te są tworzone przez różnych cyberprzestępców, ich zachowanie jest identyczne. Wszystkie szyfrują dane i żądają okupu. Badania pokazują, że jedyne główne różnice to rodzaj wykorzystanego algorytmu szyfrowania i wysokość okupu. Niestety, większość z tych wirusów wykorzystuje algorytmy generujące unikalne klucze deszyfrowania (np. RSA, AES itd.). Dlatego też, chyba że malware zawiera błędy/wady (np. klucz jest zaszyfrowany lub przechowywany lokalnie), ręczne odzyskanie plików bez zaangażowanie programistów (kontakt z tymi osobami nie jest zalecany) jest niemożliwe. SIGMA i inne wirusy typu ransomware stanowią silny argument za regularnym tworzeniem kopii zapasowych danych. Należy jednak pamiętać, że pliki kopii zapasowych powinny być przechowywane na zdalnym serwerze (np. w chmurze) lub na odłączonym dysku twardym. W przeciwnym razie również zostaną zaszyfrowane.

W jaki sposób ransomware zainfekowało mój komputer?

Jak wspomniano powyżej, SIGMA jest dystrybuowane za pomocą wiadomości Spam, jednak w celu dystrybuowania innych wirusów typu ransomware, programiści często wykorzystują trojany, fałszywe narzędzia do aktualizacji oprogramowania, sieci P2P i inne źródła pobierania. Trojany otwierają tylne drzwi dla wirusów w celu infiltracji systemu. Fałszywe aktualizacje oprogramowania instalują wirusy, wykorzystując nieaktualne błędy/wady oprogramowania. Sieci P2P (torrenty, eMule itp.) i inne nieoficjalne źródła dystrybucji oprogramowania (strony z bezpłatnym oprogramowaniem do pobrania, strony z darmowym hostingiem plików itp.) często przedstawiają złośliwe pliki wykonywalne jako legalne oprogramowanie, a tym samym nakłaniają użytkowników do pobierania i uruchamiania malware. Zasadniczo, głównymi przyczynami infekcji komputerowych są niewielka wiedza i nieostrożne zachowanie.

Jak chronić się przed infekcjami ransomware?

Kluczem do bezpieczeństwa komputera jest ostrożność. Dlatego zwracaj szczególną uwagę podczas przeglądania Internetu. Nigdy nie otwieraj załączników otrzymanych z podejrzanych adresów e-mail - te wiadomości e-mail powinny zostać usunięte bez czytania. Zalecamy również pobranie oprogramowania z oficjalnych źródeł i, najlepiej, za pomocą bezpośredniego linku do pobierania (narzędzia do pobierania/instalacji stron trzecich często dołączają podejrzane aplikacje). Ponadto, aktualizuj zainstalowane oprogramowanie i korzystaj z legalnego oprogramowania antywirusowego/antyspyware. Ważne jest, aby pamiętać, że ransomware jest dystrybuowane za pomocą fałszywych aktualizacji. Dlatego oprogramowanie nigdy nie powinno być aktualizowane przy użyciu nieoficjalnych narzędzi.

Zrzut ekranu pliku HTML SIGMA:

SIGMA html file

Tekst prezentowany w plikach HTML i .txt ransomware SIGMA:

Co się stało z moimi plikami? Dlaczego to widzę?

 

Wszystkie twoje pliki zostały zaszyfrowane za pomocą szyfrowania RSA 2048. Oznacza to, że nie będziesz w stanie ich otworzyć ani wyświetlić. NIE oznacza to, że są uszkodzone.

 

Rozwiązanie

 

Cóż, jest to całkiem proste. Tylko my możemy odszyfrować twoje pliki, ponieważ przechowujemy twój klucz prywatny RSA 2048. Musisz więc kupić od nas specjalne oprogramowanie deszyfrujące i klucz prywatny RSA, jeśli chcesz odzyskać swoje pliki. Po dokonaniu zapłaty otrzymasz deszyfrator wraz z kluczem prywatnym. Po uruchomieniu go, wszystkie twoje pliki zostaną odblokowane i przywrócone do normy.

Istnieją 2 sposoby, aby to zrobić. Możesz czekać na cud i podwoić swoją cenę, albo postępować zgodnie z instrukcjami poniżej i odzyskać wszystkie swoje ważne pliki.

 

Procedura płatności

 

Pobierz specjalną przeglądarkę o nazwie "TOR browser", a następnie otwórz poniższy link. Kroki są takie same

 

1. Przejdź do hxxps://www.torproject.org/download/download-easy.html.en, aby pobrać "TOR Browser".

2. Kliknij purpurowy przycisk z napisem "Download TOR Browser"

3. Uruchom pobrany plik i zainstaluj go.

4. Po zakończeniu instalacji uruchom przeglądarkę TOR, klikając ikonę na pulpicie.

5. Teraz kliknij "Connect button", poczekaj kilka sekund, a otworzy się przeglądarka TOR.

6. Skopiuj i wklej poniższy link na pasku adresu przeglądarki TOR.

hxxp://yowl2ugopitfzzwb.onion/

 

Teraz STUKNIJ "Enter"

 

7. Poczekaj kilka sekund, a otworzy się witryna. Następnie wprowadź identyfikator GUID wymieniony poniżej i przeprowadź proces.

 

303FE8580B3167E7E1141B8AAE588AA2

 

Jeśli masz problemy podczas instalacji lub korzystania z przeglądarki Tor, odwiedź YouTube i wyszukaj "Install Tor Browser Windows", a znajdziesz wiele filmów.

Zrzut ekranu tapety pulpitu SIGMA:

SIGMA wallpaper

Zrzut ekranu strony SIGMA:

Strona domowa:

SIGMA website

Tekst prezentowany na tej stronie:

Ransomware Sigma

 

Twoje dokumenty, zdjęcia, bazy danych i inne ważne pliki zostały zaszyfrowane

Twoje pliki zostały zaszyfrowane 7. listopada 2017 roku 7:05

Aby je odzyskać, potrzebujesz klucza prywatnego z pary kluczy używanych do ich odszyfrowania oraz oprogramowania deszyfrującego.

Możesz je kupić za 1000,00 $

W ciągu 7 dni możesz kupić ten produkt w specjalnej cenie: ~1000 $

Po 7 dniach cena tego produktu wzrośnie do: ~2000 $

Ostateczny termin to 06-01-2018 03:05:01 (po tym stracisz ważne pliki na zawsze)

Zarejestruj portfel Bitcoin.

Utwórz portfel Bitcoin (polecamy Blockchain.info) lub inne portfele (kliknij tutaj)

Kup wymaganą ilość Bitcoinów.

Istnieje kilka sposobów na kupno Bitcoinów. Możesz skorzystać z giełdy Bitcoinów (kliknij tutaj), kupić bezpośrednio od osób sprzedających w pobliżu (kliknij tutaj) lub za pomocą bankomatu Bitcoin (kliknij tutaj)

Wyślij dokładnie 1000,00 dolarów na poniższy adres:

1FTgiZwhTJ1HY4gmvieio88UAfBxQtVDNj

Potwierdzenie może zająć kilka minut, prosimy o cierpliwość.

Status: Płatność oczekująca ...

Ta prośba o płatność jest ważna do 14-11-2017 03:05:01 UTC. Po tym czasie kwota zostanie podwojona do ~ 2000 $

W przypadku problemów z płatnością lub jakichkolwiek innych pytań, skontaktuj się z nami poprzez LIVE CHAT

Live Chat:

SIGMA Ransomware Live Chat

Tekst prezentowany na tej stronie:

ABY POŁĄCZYĆ SIĘ Z NAMI, JEDYNE CZEGO POTRZEBUJESZ, TO KONTO XAMP, PIDGIN Z OTR DLA BEZPIECZNEGO NATYCHMIASTOWEGO WYSYŁANIA WIADOMOŚCI

Instrukcja instalacji Pidgin hxxps://securityinabox.org/en/guide/pidgin/windows/

Zalecamy bezpieczne i szybkie strony XAMP

exploit.im (rejestracja może odbywać się w pidgin)

hxxps://accounts.jwchat.org/

hxxps://jabb.im/reg/

Po zakończeniu instalacji Pidgin i OTR (bardzo ważne jest zainstalowanie OTR, więc nie zapomnij o tym) dodaj nasz XAMP jako znajomego i autoryzuj go

Zauważ, że tylko gdy rozmawiamy z Tobą w pidgin możemy odszyfrować 1 plik za darmo dla ciebie lub może być więcej ..

Nasze konto XAMP to [email protected]

FAQ (Często zadawane pytania):

SIGMA Ransomware frequently asked questions FAQ

Tekst prezentowany na tej stronie:

Pytanie: Jak mogę odszyfrować moje pliki po dokonaniu płatności?

Odpowiedź: Po dokonaniu płatności możesz pobrać deszyfrator ze swojej osobistej strony. Gwarantujemy, że wszystkie twoje pliki zostaną odszyfrowane!

 

Pytanie: Moje pliki zostały zainfekowane ponad miesiąc temu. Czy mogę je odszyfrować za pomocą oprogramowania?

Odpowiedź: Tak, nadal możesz odszyfrować pliki po dokonaniu płatności. My przechowujemy twoją parę kluczy przez 2 miesiące. Potem automatycznie je usuniemy i wtedy nie będziesz mógł odzyskać swoich plików!

 

Pytanie: Mam wiele zainfekowanych komputerów. Czy jest jakaś zniżka?

Odpowiedź: Postępuj zgodnie z instrukcjami podanymi na czacie na żywo i połącz się z nami, aby negocjować cenę dla wielu komputerów

 

Pytanie: Jeśli zapłacę i odzyskam moje pliki, czy w przyszłości będę chroniony przed tym oprogramowaniem ransomware?

Odpowiedź: Sprzedajemy specjalną Odporność po cenie tak niskiej jak 100$. Jeśli ją kupisz, dodamy GUID twojego komputera do naszej białej listy. W przyszłości twoja maszyna nigdy więcej nie zostanie zainfekowana. Aby kupić odporność, postępuj zgodnie z instrukcjami wymienionymi na stronie lice czatu i połącz się z nami!

Zrzut ekranu plików zaszyfrowanych przez SIGMA (rozszerzenie 4 losowych liter i cyfr):

Files encrypted by SIGMA

Usuwanie ransomware SIGMA:

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem SIGMA. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.


Download program do usuwania SIGMA virus
1) Pobierz i zainstaluj   2) Uruchom skanowanie systemu   3) Ciesz się swoim czystym komputerem!

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Reimage.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Sigma).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Sigma.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Sigma. są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez SIGMA możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak SIGMA.

Zauważ, że aktualizacja, Windows 10 Fall Creators Update obejmuje funkcję "Kontrolowany dostęp do folderu", która blokuje próby zaszyfrowania twoich plików przez ransomware. Domyślnie ta funkcja automatycznie chroni pliki przechowywane w Dokumentach, Obrazach, Wideo, Muzyka, Ulubione oraz folderach na pulpicie.

Controll Folder Access

Użytkownicy systemu Windows 10 powinni zainstalować tę aktualizację, aby chronić swoje dane przed atakami ransomware. Tutaj jest więcej informacji o tym, jak uzyskać tę aktualizację i dodać dodatkową warstwę ochrony przed infekcjami ransomware.

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta wykorzystuje zaawansowaną proaktywną technologię monitorującą aktywność ransomware i natychmiast ją zatrzymuje – zanim dostanie się ona do plików użytkowników:

malwarebytes anti-ransomware

  • Najlepszym sposobem uniknięcia infekcji ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji na temat tworzenia kopii zapasowych online i oprogramowania do odzyskiwania danych Tutaj.

Inne narzędzia znane z usuwania ransomware SIGMA:

Źródło: https://www.pcrisk.com/removal-guides/11876-sigma-ransomware