Cyber Security LAB

Variante di ransomware è stato segnalato per interessare un numero crescente di utenti, chiamato BuyUnlockCode è stato identificato per infettare i PC su scala globale. Il ransomware utilizza un forte RSA â €”cifrario 1024 per crittografare i file e una crittografia AES per crittografare le chiavi di decrittazione. Questo rende i file crittografati in grado di essere aperto a meno che gli utenti interessati pagano il denaro del riscatto. Istruzioni sul pagamento sono lasciate alle spalle come una carta da parati e un file di testo, come al solito con la maggior parte dei virus ransomware. Gli utenti infetti consiglia di non pagare qualsiasi riscatto a cyber-criminali, perché non è alcuna garanzia che riceveranno i file indietro. Al contrario, si consiglia di rimuovere il ransomware e provare altri metodi per ripristinare i file, come quelli forniti in questo articolo.

Minaccia BuyUnlockCode Riepilogo Ransomware â €”come è che si sono diffuse per infettare gli utenti, i file dannosi di BuyUnlockCode possono essere distribuiti tramite:

Scarica lo strumento di rimozionerimuovere BuyUnlockCode

• File offuscati.
• Codice JavaScript dannoso.
• Exploit kit.
• Drive-by download.
• Via falsi aggiornamenti di Java.

Gli utenti hanno segnalato incontrando e-mail di spam come questo:

Si raccomanda vivamente di evitare tali e-mail o almeno controllare il loro contenuto per malware. Un metodo per effettuare questa operazione e prevenire ulteriori attacchi è tramite servizi di VirusTotal.

BuyUnlockCode Ransomware â €”Descrizione

Una volta eseguito sul computer dannoso, BuyUnlockCode ransomware è stato identificato dai ricercatori di cyber-minacce per creare i seguenti file dannosi nelle seguenti cartelle Windows:

→ In % AppData%SunDevPackUpdate:
BuyUnlockCode.txt
pbinfoset.sww
SunDevPackUpdatewallpp.bmp

Dopo creando i file dannosi, BuyUnlockCode ransomware, crea valori nella Windows Editor del registro di sistema che esegue il processo di crittografia su Windows avviare e cambiare lo sfondo con il proprio:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionRunOncebcdel cmd.exe/c del “% AppData%SunDevPackUpdate.exe”
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceoldex cmd.exe/c del “percorso-a-installerinstaller.exe”
HKCUControl PanelDesktopWallpaper “% AppData%SunDevPackUpdatewallpp.bmp” fonte: Bleeping Computer

Dopo questo modo, il ransomware comincia a crittografare i file utente. Cerca i file che hanno le seguenti estensioni:

→ CRT,. xls,. docx,. doc, CER,. Key,. pem,. PGP,. der,. RTF, xlsm, xlsx, xlsb,. txt, xlc, docm,. PTB,. QBB, QBW, .qba, .qbm,. XLK, DBF, mdb, MDF, MDE, accdb,. text,. jpg,. jpeg,. ppt,. pdf, CDX,. CDR,. bpg, vbp,. php, CSS, dbx, DBT,. ARW,. dwg,. dxf, DXG,. EPS,. indd, ODB, terreno, NRW,. ods,. ODP,. odt,. ORF,. PDD, pfx,. KDC, NEF, MEF, .mrw, CRW ,. DNG, RAF,. PSD,. rwl, SRF, .srw,. WPD, ODC, SQL, PAB, VSD, xsf, PPS, WPS, pptm, pptx, PST,. zip,. tar,. rar fonte: Bleeping Computer

I file crittografati hanno l’estensione di diario aggiunto a loro, ad esempio:

→ Nuovo testo Document.txt.encoded. {ID alfa-numerico qui}

Scarica lo strumento di rimozionerimuovere BuyUnlockCode

Dopo la crittografia la carta da parati dell’utente infetto PC è modificato come segue:

Si apre automaticamente anche il file “BuyUnlockCode.txt” per informare l’utente con il seguente messaggio:

→ “Hi, il tuo ID = {ID alfanumerico Random}
Tutti i file importanti sono stati codificati con algoritmo di crittografia RSA-1024.
C’è l’unico modo per ripristinarli-Acquista il codice di sblocco univoco.
Attenzione! Qualsiasi tentativo di recupero dei file senza il nostro “programma speciale” verrà danneggiare dati o perdita di dati completa.
Come riceviamo il vostro pagamento, vi invieremo programma speciale e unico codice per sbloccare il sistema.
Garanzia: È possibile inviare uno del file crittografato tramite e-mail e noi decodificarlo gratuitamente come prova delle nostre capacità.
Non ha senso di contattare la polizia. Il pagamento deve essere effettuato per l’e-wallet. È impossibile da rintracciare.
Non sprecate il vostro e il nostro tempo.
Quindi, se siete pronti a pagare per recuperare i file, si prega di rispondere questa email ChiuKhan@tom.com
Quindi vi invieremo le istruzioni di pagamento.” Fonte: Gli utenti interessati

Rimuovere BuyUnlockCode Ransomware e ripristinare i file crittografati

Per rimuovere BuyUnlockCode dal tuo computer, si dovrebbero seguire le istruzioni di rimozione qui sotto. Poiché le infezioni con questo malware possono essere diverso e apportare diverse modifiche al PC, gli esperti consigliano di utilizzare un software anti-malware avanzate per la massima efficacia.

Se si desidera decrittografare direttamente i file, purtroppo, è impossibile, perché non c’è nessun decrypter rilasciato appena ancora. Tuttavia, se si desidera provare i metodi alternativi per ottenere i file indietro elencati nelle istruzioni qui sotto. Essi non possono essere efficace al 100%, ma possono funzionare per almeno una parte dei tuoi dati.

Eliminare manualmente il BuyUnlockCode dal tuo computer

Nota! Sostanza notifica circa la minaccia di BuyUnlockCode : rimozione manuale di BuyUnlockCode richiede interferenza con i registri e i file di sistema. Così, può causare danni al vostro PC. Anche se le competenze informatiche possedute non sono un professionista livello, donâ €™ t preoccupare. Si può fare la rimozione se stessi solo in 5 minuti, utilizzando uno strumento di rimozione malware.

Per i più recenti sistemi operativi di Windows

Guida alla rimozione manuale BuyUnlockCode

Passo 1. Disinstallare BuyUnlockCode e relativi programmi

Windows XP

1. Aprire il menu Start e fare clic su pannello di controllo
2. Scegliere Aggiungi o Rimuovi programmi
3. Selezionare l’applicazione indesiderata
4. Fare clic su Rimuovi

Windows 7 e Vista

1. Fare clic su Start e selezionare Pannello di controllo
2. Vai a disinstallare un programma
3. Tasto destro del mouse sul software sospettoso
4. Selezionare Disinstalla

Windows 8

1. Spostare il cursore nell’angolo sinistro inferiore
2. Tasto destro del mouse e aprire il pannello di controllo
3. Selezionare Disinstalla un programma
4. Cancellare le applicazioni indesiderate

Scarica lo strumento di rimozionerimuovere BuyUnlockCode

Passo 2. Rimuovere BuyUnlockCode dal tuo browser

Rimuovere BuyUnlockCode da Internet Explorer

1. Aprire IE e cliccare sull’icona ingranaggio
   
2. Selezionare Gestisci componenti aggiuntivi
   
3. Rimuovere estensioni indesiderate
4. Cambiare la tua home page: icona ingranaggio → opzioni Internet (scheda generale)
   
5. Ripristinare il vostro browser: icona ingranaggio → opzioni Internet (scheda Avanzate)
6. Fare clic su Reimposta, spunta la casella e fare nuovamente clic su Reset
   

Eliminare BuyUnlockCode da Mozilla Firefox

1. Aprire Mozilla e scegliere dal menu
   
2. Scegliere Componenti aggiuntivi e andare alle estensioni
3. Selezionare il componente aggiuntivo non desiderato e fare clic su Rimuovi
   
4. Reset Mozilla: Alt + H → informazioni di risoluzione dei problemi
   
5. Fare clic su Reset Firefox, confermare e fare clic su fine
   

Disinstallare BuyUnlockCode da Google Chrome

1. Aprire Google Chrome e fare clic sul menu
   
2. Selezionare strumenti → estensioni
3. Scegliere il componente aggiuntivo e fare clic sull’icona di Trash can
   
4. Cambiare il motore di ricerca: Menu → impostazioni
5. Fare clic su Gestisci motori di ricerca in ricerca
   
6. Eliminare il provider di ricerca indesiderati
   
7. Ripristinare il vostro browser: impostazioni → Reset Impostazioni browser
   
8. Fare clic su Reimposta per confermare la vostra azione