Ransomware ..doc

Znany również jako: ..doc (wirus)
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware ..doc

Czym jest ..doc?

..doc to nowa odmiana wirusa typu ransomware GlobeImposter. Programiści dystrybuują .doc, korzystając z botneta Necurs, który służy do wysyłania wiadomości Spam zawierających złośliwy załącznik (malware ..doc). Botnet używa również adresów e-mail i linii tematycznych zaprojektowanych w celu oszukania użytkowników (na różne sposoby) do czytania wiadomości e-mail i otwierania załącznika. Po infiltracji, ..doc szyfruje przechowywane dane i dołącza do nazwy plików rozszerzenie "..doc" (skąd pochodzi nazwa ransomware). Od tego momentu pliki stają się bezużyteczne. Natychmiast po zaszyfrowaniu plik .doc umieszcza plik "Read___ME.html" w każdym istniejącym folderze.

Nowy plik HTML zawiera szczegółowe informacje dotyczące szyfrowania i zachęca użytkowników do zakupu określonego narzędzia deszyfrującego za pośrednictwem strony internetowej ransomware ..doc (link podany w pliku HTML). Obecnie nie wiadomo, czy ..doc używa szyfrowania symetrycznego lub asymetrycznego, jednak w każdym przypadku odszyfrowanie wymaga unikalnego klucza. Klucze te są przechowywane na zdalnym serwerze kontrolowanym przez cyberprzestępców, a użytkownicy są zachęcani do zakupu narzędzia deszyfrującego z wbudowanym kluczem. Koszt jest obecnie nieznany i nigdzie nie podany - aby przesłać płatność, użytkownicy muszą najpierw skontaktować się z programistami ..doc za pośrednictwem ich strony internetowej (w formie czatu). Cyberprzestępcy zwykle żądają od 500$-1500$ w Bitcoinach. Użytkownicy mają również prawo do załączenia jednego wybranego pliku, który jest odszyfrowywany i zwracany, podobno w celu zagwarantowania przywrócenia plików. W rzeczywistości cyberprzestępcom nigdy nie należy ufać. Badania pokazują, że mogą oni zignorować ofiary po otrzymaniu płatności. Istnieje wysokie prawdopodobieństwo, że płacenie nie przyniesie żadnego pozytywnego wyniku i zostaniesz oszukany. Dlatego radzimy zignorować wszystkie prośby o kontakt z tymi osobami lub zapłacenia okupu. Niestety, obecnie nie ma narzędzi zdolnych do odzyskania plików zagrożonych przez .doc. Dlatego możesz przywrócić system/pliki tylko z kopii zapasowej.

Zrzut ekranu z wiadomością zachęcającą użytkowników do zapłacenia okupu w celu odszyfrowania ich zainfekowanych danych:

..doc decrypt instructions

..doc jest praktycznie identyczny z LockeR, TBHRanso, Wana Die i dziesiątkami innych wirusów ransomware. Pamiętaj, że chociaż wirusy te są tworzone przez różnych cyberprzestępców, wszystkie mają identyczne zachowanie - szyfrują dane i żądają okupu. Istnieją pomiędzy nimi tylko dwie zasadnicze różnice: 1) wysokość okupu; 2) rodzaj zastosowanego algorytmu szyfrowania. Badania pokazują, że niestety większość z tych wirusów wykorzystuje algorytmy (np. RSA, AES itp.), które generują unikalne klucze deszyfrowania. Dlatego ręczne odszyfrowywanie plików bez zaangażowania programistów (kontaktowanie się z nimi nie jest zalecane) jest niemożliwe, chyba że malware ma pewne błędy/wady (np. przechowuje klucz ręcznie, klucz jest zakodowany itp.). Z tych powodów wirusy ransomware, takie jak ..doc, stanowią silny argument za regularnym tworzeniem kopii zapasowych danych. Należy jednak pamiętać, że pliki kopii zapasowych muszą być przechowywane na serwerze zdalnym (np. w chmurze) lub w pamięci zewnętrznej. W przeciwnym razie malware je również zaszyfruje.

W jaki sposób ransomware zainfekowało mój komputer?

Wirusy typu ransomware są zwykle dystrybuowane za pomocą wiadomości Spam (szkodliwych załączników), sieci P2P (peer-to-peer) i innych źródeł pobierania oprogramowania stron trzecich, fałszywych aktualizatorów oprogramowania i trojanów. Złośliwe załączniki są zwykle dostarczane w formacie plików JavaScript lub dokumentów MS Office (z makrami). Po otwarciu załączniki te pobierają i instalują malware. Sieci P2P (torrenty, eMule itp.) i inne nieoficjalne źródła pobierania (strony z bezpłatnym hostingiem plików, strony z bezpłatnymi plikami do pobrania itp.). Często przedstawiają złośliwe pliki wykonywalne jako legalne oprogramowanie. Użytkownicy są oszukiwani do pobrania i zainstalowania malware. Fałszywe narzędzia do aktualizacji oprogramowania infekują system wykorzystując przestarzałe błędy/wady oprogramowania. Trojany są najprostsze - po prostu otwierają "tylne drzwi", aby malware mogło przeniknąć do systemu. Zasadniczo, głównymi przyczynami infekcji komputerowych są niewielka wiedza i nieostrożne zachowanie.

Jak chronić się przed infekcjami ransomware?

Aby zapobiec infekcjom ransomware, zachowaj szczególną ostrożność podczas przeglądania Internetu. Nigdy nie otwieraj plików otrzymanych z podejrzanych wiadomości e-mail - te wiadomości powinny zostać usunięte bez czytania. Ponadto pobieraj aplikacje tylko z oficjalnych źródeł i, najlepiej, korzystając z bezpośredniego linku pobierania. Narzędzia pobierania/instalacji mogą zawierać malware. Dlatego radzimy unikać używania takich narzędzi. Aktualizuj zainstalowane aplikacje i korzystaj z legalnego oprogramowania antywirusowego/antyspyware. Należy jednak pamiętać, że przestępcy dystrybuują malware za pomocą fałszywych aktualizacji. Zamiast ich używać, użyj zaimplementowanej funkcji "Aktualizuj" lub narzędzia dostarczonego przez oficjalnego programistę. Kluczem do bezpieczeństwa komputera jest ostrożność.

Nieuczciwa kampania e-mail dystrybuująca ransomware ..doc (zwane także Ergop "Ransom:Win32/Ergop " by Microsoft):

ergop (..doc ransomware) distributing email message

Tekst prezentowany w pliku HTML ransomware ..doc ("Read___ME.html"):

Twoje pliki są zaszyfrowane!

 

Aby odzyskać dane potrzebujesz deszyfratora.

 

Jeśli chcesz kupić deszyfrator, kliknij "Kup Deszyfrator"

 

Kup Deszyfrator

 

Jeśli nie działa, kliknij ponownie.

Bezpłatne odszyfrowywanie jako gwarancja.

Przed zapłaceniem możesz przesłać nam 1 plik do bezpłatnego odszyfrowania.

Aby wysłać wiadomość lub plik, użyj tego linku.

Wsparcie

Jeśli nie możesz się skontaktować, wykonaj następujące dwa kroki:

1. Zainstaluj przeglądarkę TOR z tego linku: torproject.org

2. Otwórz ten link w przeglądarce TOR: hxxp://n224ezvhg4sgyamb.onion/sup.php

Zrzut ekranu strony ..doc:

..doc website

Tekst prezentowany na tej stronie:

WSPARCIE
Przed zapłaceniem możesz przesłać nam 1 plik do bezpłatnego odszyfrowania.

Aby wysłać wiadomość lub plik, użyj tego linku.


hxxps://ws10.freshdesk.com/support/tickets/new

Zrzut ekranu czatu używanego do kontaktu z twórcami ransomware ..doc:

doc ransomware's live chat

Zrzut ekranu plików zaszyfrowanych przez ..doc (rozszerzenie "..doc"):

Files encrypted by ..doc

Usuwanie ransomware ..doc:

Natychmiastowe automatyczne usunięcie ..doc (wirus): Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się ..doc (wirus). Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem ..doc. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware ..doc).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware aby wyeliminować wszelkie pozostałe pliki ..doc.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty ..doc. są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez ..doc możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak ..doc.

Zauważ, że aktualizacja Windows 10 Fall Creators Update obejmuje funkcję "Kontrolowany Dostęp do Folderu", która blokuje próby zaszyfrowania twoich plików przez ransomware. Domyślnie ta funkcja automatycznie chroni pliki przechowywane w Dokumentach, Obrazach, Wideo, Muzyka, Ulubione oraz folderach na pulpicie.

Controll Folder Access

Użytkownicy systemu Windows 10 powinni zainstalować tę aktualizację, aby chronić swoje dane przed atakami ransomware. Tutaj jest więcej informacji o tym, jak uzyskać tę aktualizację i dodać dodatkową warstwę ochrony przed infekcjami ransomware.

HitmanPro.Alert CryptoGuard - - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta wykorzystuje zaawansowaną proaktywną technologię monitorującą aktywność ransomware i natychmiast ją zatrzymuje – zanim dostanie się ona do plików użytkowników:

malwarebytes anti-ransomware

  • Najlepszym sposobem uniknięcia infekcji ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji na temat tworzenia kopii zapasowych online i oprogramowania do odzyskiwania danych Tutaj.

Inne narzędzia znane z usuwania ransomware ..doc:

Źródło: https://www.pcrisk.com/removal-guides/11952-doc-ransomware