Ransomware Puma

Znany również jako: Wirus Puma
Dystrybucja: Umiarkowana
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware Puma

Czym jest Puma?

Puma to jeden z wielu wirusów ransomware. Jest to zaktualizowany wariant ransomware STOP i został po raz pierwszy odkryty przez badacza bezpieczeństwa malware Marcelo Rivero. Podobnie jak większość infekcji tego typu, służy do szyfrowania (blokowania) danych ofiary i żądania okupu. Gdy komputer zostanie zainfekowany przez Pumę, ransomware blokuje Menedżera zadań systemu Windows i uniemożliwia użytkownikowi zakończenie jego procesu. Podczas procesu szyfrowania Puma wyświetla fałszywe okno aktualizacji Windows. Ten wirus ransomware zmienia nazwę każdego zaszyfrowanego pliku poprzez dodanie do niego rozszerzenia ".puma" na przykład: nazwa "1.jpg" zostaje zmieniona na "1.jpg.puma" itd. Istnieje również wersja tego malware, która używa rozszerzenia ".pumax". Puma generuje również wiadomość z żądaniem okupu w pliku tekstowym "!readme.txt". Pumę można znaleźć w Menedżerze zadań jako proces o nazwie "updatewin.exe (32-bit)".

Podobnie jak większość wiadomości z żądaniem okupu, "!readme.txt" zawiera stwierdzenia, że ​​wszystkie pliki są zaszyfrowane i aby móc je odzyskać (odszyfrować), ofiary ransomware muszą zapłacić okup/narzędzie odszyfrowywania. Według twórców Puma, po zakupie ich narzędzia, ich ofiary otrzymają narzędzie deszyfrujące. Oferują bezpłatne odszyfrowywanie do trzech plików jako gwarancję, że można im zaufać. Oferują nawet zakup narzędzia deszyfrującego z rabatem w wysokości 50%, jeśli użytkownicy skontaktują się z nimi w ciągu 72 godzin. Wszystkie ich ofiary muszą skontaktować się z nimi za pośrednictwem adresu [email protected] lub [email protected] Według cyberprzestępców kryjących się za ransomware Puma, tylko oni mogą zapewnić swoim ofiarom narzędzie deszyfrujące. Niestety jest to prawda. Zazwyczaj cyberprzestępcy używają algorytmów generujących unikalne klucze deszyfrowania, które są przechowywane na zdalnych serwerach. Dzięki temu nie można odszyfrować danych bez ingerencji cyberprzestępców. Jednak w większości przypadków nie można im ufać. Bardzo często ignorują swoje ofiary, nawet jeśli zostaną spełnione żądania okupu. Obecnie nie wiadomo, jaki algorytm szyfrowania (symetryczny czy asymetryczny) jest używany w tym przypadku. Tak czy inaczej, nie ma narzędzia, które mogłoby odszyfrować pliki bezpłatnie. Dlatego też zalecamy skorzystanie z kopii zapasowych i odzyskanie plików z tego miejsca, o ile takie istnieje.

Zrzut ekranu z wiadomością zachęcającą użytkowników do zapłacenia okupu w celu odszyfrowania ich zainfekowanych danych:

Puma decrypt instructions

Puma nie jest jedynym wirusem ransomware, który zachowuje się w ten sposób, istnieje wiele innych infekcji tego typu. Oto przykład podobnego ransomware: INFOWAIT, ARGUS i Ghost. W większości przypadków takie infekcje mają na celu osiągnięcie tych samych celów: szyfrowanie plików ofiary i żądanie zapłaty okupu. Najczęstsze różnice między takimi wirusami to cena za odszyfrowanie i wykorzystany algorytm kryptograficzny. Zazwyczaj nie można odszyfrować plików bez ingerencji cyberprzestępców, chyba że wirus nadal znajduje się w stanie rozwoju i ma pewne błędy/wady. Z tego powodu zalecamy regularne wykonywanie kopii zapasowych i przechowywanie ich na zdalnych serwerach lub odłączonych urządzeniach pamięci masowej.

W jaki sposób ransomware zainfekowało mój komputer?

Nie jest jasne, jak dokładnie programiści Puma dystrybuują swojego wirusa ransomware, jednak większość cyberprzestępców rozprzestrzenia takie infekcje za pomocą jednej z następujących metod: kampanie e-mailowe spam, niewiarygodne źródła oprogramowania firm trzecich, fałszywe narzędzia do aktualizacji oprogramowania i trojany. Cyberprzestępcy wykorzystują kampanie spamowe e-mail jako narzędzia do dystrybucji infekcji za pośrednictwem załączników e-mail lub linków. Z reguły wysyłają oni wiadomości e-mail zawierające zainfekowane dokumenty Microsoft Office, pliki archiwów (takie jak RAR), pliki PDF, pliki wykonywalne (.exe) itd., mając nadzieję, że ktoś je otworzy. Po otwarciu te załączniki (lub linki) pobierają i instalują infekcje komputerowe. Cyberprzestępcy mogą również wykorzystywać niezależne źródła pobierania oprogramowania stron trzecich, takie jak sieci typu peer-to-peer (klienci torrent, eMule itp.), strony z bezpłatnym hostingiem plików, witryny z freeware do pobrania itp. Korzystając z tych kanałów nakłaniają użytkowników do samodzielnego zainstalowania infekcji komputerowych. Cyberprzestępcy osiągają to, prezentując złośliwe pliki wykonywalne (.exe) lub inne pliki jako uzasadnione. Różne nieoficjalne (fałszywe) programy aktualizujące oprogramowanie mogą również służyć do rozsyłania wirusów. Te narzędzia pobierają i instalują infekcje zamiast obiecanych aktualizacji lub wykorzystują błędy/luki nieaktualnego oprogramowania.

Jak chronić się przed infekcjami ransomware?

Aby uniknąć wirusów typu ransomware lub innych infekcji komputerowych, ważne jest ostrożne przeglądanie Internetu, instalowanie, pobieranie i aktualizowanie oprogramowania. Nie otwieraj załączników e-mail (lub linków) otrzymanych z nieznanych, niewiarygodnych, podejrzanych adresów e-mail. Innymi słowy, nie otwieraj plików (lub linków) dołączonych do różnych nieistotnych wiadomości e-mail. Zaktualizuj oprogramowanie za pomocą wbudowanych funkcji lub narzędzi dostarczanych wyłącznie przez oficjalnych programistów. Zdecydowanie zalecamy, aby unikać korzystania z różnych narzędzi firm trzecich/nieoficjalnych. Ponadto, pobieraj oprogramowanie wyłącznie z oficjalnych i wiarygodnych źródeł. Różne systemy pobierania lub instalacji innych firm często dołączają nieuczciwe aplikacje, które mogą powodować infekcje komputerowe wysokiego ryzyka. Należy mieć zainstalowane i włączone sprawdzone oprogramowanie anty-spyware lub antywirusowe. Takie narzędzia są zazwyczaj bardzo pomocne w przypadku różnych infekcji, zanim zostaną wyrządzone jakiekolwiek szkody. Jeśli twój komputer jest już zainfekowany Pumą, zalecamy wykonanie skanowania za pomocą  Spyhunter, aby automatycznie wyeliminować to ransomware.

Tekst prezentowany w pliku tekstowym ransomware Puma:

=================!UWAGA!=================

Twoje bazy danych, pliki, zdjęcia, dokumenty i inne ważne pliki są zaszyfrowane i mają rozszerzenie: .puma

Jedyną metodą odzyskania plików jest zakup oprogramowania do odszyfrowywania i unikalnego klucza prywatnego.

Po zakupie rozpoczniesz odszyfrowywanie, wpiszesz swój unikalny klucz prywatny i odszyfrujesz wszystkie swoje dane.

Tylko my możemy dać ci ten klucz i tylko my możemy odzyskać twoje pliki.

Musisz skontaktować się z nami poprzez e-mail [email protected] i wysłać nam swój osobisty identyfikator oraz czekać na dalsze instrukcje.

Dla pewności, że możemy odszyfrować twoje pliki - możesz wysłać nam 1-3 niezbyt duże zaszyfrowane pliki, a my odeślemy ci je w oryginalnej formie BEZPŁATNIE.

Istnieje 50% zniżka, jeśli skontaktujesz się z nami przez pierwsze 72 godziny.

===================================================

Adres e-mail do kontaktu z nami:
[email protected]

Rezerwowy adres e-mail do kontaktu z nami:
[email protected]

Twoje osobiste ID:
0058qpq3ylnE16aHSgo4Sg0XH3ODhi9ddXBObJMGjZI

Zrzut ekranu plików zaszyfrowanych przez Puma (rozszerzenie ".puma"):

Files encrypted by Puma

Ransomware Puma wyświetlające fałszywą aktualizację Windows podczas szyfrowania:

puma ransomware fake windows update

Proces ransomware Puma w Menedżerze Zadań Windows ("updatewin.exe (32-bit)"):

puma ransomware process task manager updatewin.exe

Usuwanie ransomware Puma:

Natychmiastowe automatyczne usunięcie Wirus Puma: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Wirus Puma. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem Puma. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Puma).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Puma.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Puma są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Puma możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Puma.

Zauważ, że aktualizacja Windows 10 Fall Creators obejmuje funkcję "Kontrolowany dostęp do folderu" która blokuje próby zaszyfrowania twoich plików przez ransomware. Domyślnie ta funkcja automatycznie chroni pliki przechowywane w Dokumentach, Obrazach, Wideo, Muzyka, Ulubione oraz folderach na pulpicie.

Controll Folder Access

Użytkownicy systemu Windows 10 powinni zainstalować tę aktualizację, aby chronić swoje dane przed atakami ransomware. Tutaj jest więcej informacji o tym, jak uzyskać tę aktualizację i dodać dodatkową warstwę ochrony przed infekcjami ransomware.

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta wykorzystuje zaawansowaną proaktywną technologię monitorującą aktywność ransomware i natychmiast ją zatrzymuje – zanim dostanie się ona do plików użytkowników:

malwarebytes anti-ransomware

  • Najlepszym sposobem uniknięcia infekcji ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji na temat tworzenia kopii zapasowych online i oprogramowania do odzyskiwania danych Tutaj.

Inne narzędzia znane z usuwania ransomware Puma:

Źródło: https://www.pcrisk.com/removal-guides/14095-puma-ransomware