Ransomware Promos

Znany również jako: Wirus Promos
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware Promos

Czym jest Promos?

Odkryta przez Michaela Gillespie, Promos to nowa odmiana ransomware wysokiego ryzyka o nazwie Djvu. To ransomware zostało zaprojektowane w celu potajemnego infiltrowania systemu i szyfrowania większości zapisanych plików. Robiąc to, Promos dodaje rozszerzenie ".promos" do nazwy każdego zaszyfrowanego pliku (np. "sample.jpg" zmienia nazwę na "sample.jpg.promos" itd.). Oprócz szyfrowania danych, Promos generuje również plik tekstowy ("_readme.txt") i umieszcza go w każdym istniejącym folderze. Ten plik zawiera wiadomość z żądaniem okupu.

Jak zwykle, wiadomość z żądaniem okupu twierdzi, że dane są zaszyfrowane i można je przywrócić tylko za pomocą unikalnego klucza deszyfrowania. Niestety tak jest. Obecnie nie wiadomo, czy Promos wykorzystuje szyfrowanie symetryczne czy asymetryczne. Niemniej jednak w każdym przypadku każda ofiara otrzymuje unikalny klucz, który jest niezbędny do odzyskania danych. To jest trudna część. Cyberprzestępcy ukrywają wszystkie klucze na zdalnym serwerze i próbują szantażować swoje ofiary. Aby otrzymać klucz, każda ofiara musi zapłacić okup w wysokości 980 USD. Aby otrzymać szczegółowe instrukcje dotyczące płatności, ofiary muszą skontaktować się z programistami za pomocą jednego z podanych adresów e-mail. Należy również zauważyć, że ofiary, które skontaktują się w ciągu 72 godzin po szyfrowaniu, otrzymają 50% zniżki, a cena spadnie do 490 USD. Ponadto ofiary mogą dołączyć jeden wybrany plik (mówi się, że nie może on zawierać danych osobowych), który zostanie odzyskany i odesłany jako gwarancja faktycznego przywrócenia danych. Niemniej jednak, bez względu na to, jak niska lub wysoka jest cena, nigdy nie powinno się jej płacić. Wyniki badań pokazują, że cyberprzestępcy często ignorują ofiary po dokonaniu przez nie płatności. Innymi słowy, użytkownicy płacą okup i zwykle nie otrzymują nic w zamian. Z tego powodu zalecamy, aby nigdy nie kontaktować się z tymi osobami i z pewnością nie płacić żadnego okupu. Niestety, nie ma narzędzi zdolnych do złamania tego szyfrowania ransomware i odzyskania danych za darmo, co oznacza, że ​​jedynym możliwym rozwiązaniem jest przywrócenie wszystkiego z kopii zapasowej.

Zrzut ekranu z wiadomością zachęcającą użytkowników do zapłacenia okupu za odszyfrowanie ich zainfekowanych danych:

Promos decrypt instructions

Promos jest praktycznie identyczne z jak Aqva, Snatch, SEED LOCKER, Cammora i dziesiątkami innych wirusów ransomware. Pomimo tego, że twórcy są różni, wszystkie te wirusy zachowują się dokładnie tak samo - szyfrują dane i żądają okupu. Jedyne duże różnice to wysokość okupu i wykorzystany algorytm szyfrowania. Niestety, infekcje ransomware prawdopodobnie wykorzystują szyfrowanie RSA, AES i inne podobne algorytmy generujące unikalne klucze deszyfrowania. Dlatego też, jeśli malware nie jest w fazie rozwoju i nie ma żadnych błędów/wad, ręczne odszyfrowywanie danych (bez ingerencji programistów) jest niemożliwe. Dlatego zawsze należy regularnie tworzyć kopie zapasowe danych i przechowywać je na zdalnym serwerze lub odłączonych urządzeniach pamięci masowej. Lokalnie przechowywane kopie zapasowe zostaną najprawdopodobniej zaszyfrowane, podobnie jak każdy inny zwykły plik.

W jaki sposób ransomware zainfekowało mój komputer?

Chociaż obecnie nie wiadomo, w jaki sposób programiści rozpowszechniają Promos, warto wspomnieć, że takie wirusy są zwykle rozsyłane za pomocą następujących metod: trojanów, fałszywych aktualizacji i narzędzi łamania oprogramowania, kampanii spamowych e-mail i źródeł pobierania oprogramowania stron trzecich. Trojany to złośliwe aplikacje, które potajemnie infiltrują komputery i wprowadzają dodatkowe malware do systemu. Fałszywe programy do aktualizacji zostały zaprojektowane w celu wykorzystywania błędów/wad nieaktualnego oprogramowania lub pobierania i instalowania malware zamiast obiecanych aktualizacji. Narzędzia do łamania zabezpieczeń mają na celu ominięcie aktywacji płatnego oprogramowania. Ponieważ są one często używane do rozsyłania wirusów, użytkownicy zazwyczaj infekują swoje komputery, ale nie uzyskują dostępu do płatnych funkcji. Kampanie spamowe e-mail są wykorzystywane do dystrybucji złośliwych załączników, które po otwarciu pobierają i/lub instalują malware. Programiści używają nieoficjalnych źródeł pobierania, aby prezentować złośliwe pliki wykonywalne jako legalne oprogramowanie, co powoduje, że użytkownicy sami manualnie pobierają i instalują malware.

Podsumowanie zagrożenia:
NazwaWirus Promos
Typ zagrożeniaRansomware, wirus szyfrowania, blokada plików
ObjawyNie można otworzyć plików przechowywanych na twoim komputerze, wcześniej działające pliki mają teraz inne rozszerzenia, na przykład my.docx.locked. Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle Bitcoinach) za odblokowanie twoich plików.
Metody dystrybucjiZainfekowane załączniki e-mail (makra), strony z torrentami, złośliwe reklamy.
ZniszczenieWszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłacenia okupu. Dodatkowe hasło kradnących trojanów i infekcji malware może być zainstalowane razem z infekcją ransomware.
Usuwanie

Aby wyeliminować Wirus Promos, nasi badacze malware zalecają przeskanowanie twojego komputera Spyhunter.
▼ Pobierz Spyhunter
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby usunąć malware, musisz zakupić pełną wersję Spyhunter.

Jak chronić się przed infekcjami ransomware?

Po pierwsze, użytkownicy muszą zdawać sobie sprawę z tego, że głównymi przyczynami infekcji komputerowych są niewielka wiedza i nierozważne zachowanie. Ostrożność jest kluczem do jej bezpieczeństwa, dlatego niezwykle ważne jest, aby zwracać szczególną uwagę podczas pobierania/instalowania/aktualizowania oprogramowania, a także przeglądania Internetu. Zawsze pobieraj aplikacje wyłącznie z oficjalnych źródeł, korzystając z bezpośrednich linków do pobierania, ponieważ osoby trzecie/instalatorzy mogą dołączać do nich złośliwe programy. Niezbędne jest również regularne aktualizowanie zainstalowanych aplikacji i systemu operacyjnego. Powinno to zostać osiągnięte wyłącznie za pomocą wbudowanych funkcji lub narzędzi dostarczonych przez oficjalnego programistę. Użytkownikom zaleca się nigdy nie używać narzędzi do łamania oprogramowania, ponieważ piractwo komputerowe jest uznawane za cyberprzestępstwo, a jakby tego było mało, ryzyko infekcji jest bardzo wysokie. Ponadto zawsze zastanów się dwa razy przed otwarciem załączników do wiadomości e-mail. Jeśli nadawca wygląda podejrzanie/nierozpoznawalnie i/lub plik/link jest nieistotny i nie dotyczy ciebie, nie otwieraj niczego i natychmiast usuń tę wiadomość. Ostatecznie, zawsze miej zainstalowane i uruchomione renomowane oprogramowanie antywirusowe/antyspyware, ponieważ istnieje wysokie prawdopodobieństwo, że narzędzia te wykryją i usuną malware zanim system zostanie uszkodzony. Jeśli twój komputer jest już zainfekowany Promoc, zalecamy wykonanie skanowania za pomocą Spyhunter, aby automatycznie wyeliminować to ransomware.

Tekst prezentowany w pliku tekstowym ransomware Promos ("_readme.txt"):

---------------- WSZYSTKIE TWOJE PLIKI SĄ ZASZYFROWANE ----------------

Nie martw się, możesz odzyskać wszystkie swoje pliki!

Wszystkie twoje dokumenty, zdjęcia, bazy danych i inne ważne dokumenty są zaszyfrowane najsilniejszym szyfrowaniem i unikalnym kluczem.

Jedyną metodą odzyskania twoich plików jest zakup narzędzia deszyfrującego i unikatowego klucza.

To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.

Jakie masz gwarancje?

Możesz wysłać jeden z zaszyfrowanych plików z komputera, a my odszyfrować go za darmo.

Możemy jednak odszyfrować tylko 1 plik za darmo. Nie może on zawierać cennych informacji.

Możesz obejrzeć przegląd wideo narzędzia do odszyfrowania:

hxxps://we.tl/t-wlvjUfRfvM

Cena klucza prywatnego i oprogramowania do odszyfrowania wynosi 980 USD.

Dostępna jest zniżka 50%. Jeśli skontaktujesz się z nami przez pierwsze 72 godziny, cena dla ciebie wyniesie 490 USD.

Pamiętaj, że nigdy nie odzyskasz danych bez dokonania płatności.

Sprawdź swój folder "Spam" poczty e-mail, jeśli nie otrzymasz odpowiedzi przez ponad 6 godzin.

---------------------------------------------------
Aby uzyskać to oprogramowanie musisz napisać do nas wiadomość:
[email protected]

Rezerwowy adres e-mail do kontaktu z nami:
[email protected]

Twoje osobiste ID:
-

Zrzut ekranu plików zaszyfrowanych przez Promos (rozszerzenie ".promos"):

Files encrypted by Promos

Usuwanie ransomware Promos:

Natychmiastowe automatyczne usunięcie Wirus Promos: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Wirus Promos. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem Promos. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Promos).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Promos.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Promos są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy uzyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Promos możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Promos.

Zauważ, że aktualizacja Windows 10 Fall Creators obejmuje funkcję "Kontrolowany dostęp do folderu", która blokuje próby zaszyfrowania twoich plików przez ransomware. Domyślnie ta funkcja automatycznie chroni pliki przechowywane w Dokumentach, Obrazach, Wideo, Muzyka, Ulubione oraz folderach na pulpicie.

Controll Folder Access

Użytkownicy systemu Windows 10 powinni zainstalować tę aktualizację, aby chronić swoje dane przed atakami ransomware. Tutaj jes więcej informacji o tym, jak uzyskać tę aktualizację i dodać dodatkową warstwę ochrony przed infekcjami ransomware.

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta wykorzystuje zaawansowaną proaktywną technologię monitorującą aktywność ransomware i natychmiast ją zatrzymuje – zanim dostanie się ona do plików użytkowników:

malwarebytes anti-ransomware

  • Najlepszym sposobem uniknięcia infekcji ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji na temat tworzenia kopii zapasowych online i oprogramowania do odzyskiwania danych tutaj.

Inne narzędzia znane z usuwania ransomware Promos:

Źródło: https://www.pcrisk.com/removal-guides/14536-promos-ransomware