Il virus CDXX, una variante della famiglia di ransomware STOP/Djvu, è noto per la sua ampia distribuzione. Questo malware prende di mira i PC Windows, crittografando i file in formato CDXX e aggiungendo una richiesta di riscatto (leggimi.txt) a ciascuna cartella contenente file crittografati. Le sue sofisticate tecniche di crittografia rendono difficile il recupero dei file con mezzi convenzionali, rendendolo una delle minacce più formidabili nel panorama della sicurezza informatica.
In questo articolo, Spiegherò cosa è successo e ti mostrerò come rimuovere il malware CDXX dal tuo computer. Inoltre, vedrai diversi modi per recuperare i file dopo l'attacco ransomware.
Cos'è il virus CDXX?
Il ransomware CDXX è un software dannoso che prende di mira i file dell'utente e lo crittografa con una cifratura forte (Salsa20), disabilita gli strumenti antivirus, ed elimina i backup. Ogni fascicolo – Documento di parole, Tabella Excel, o foto – riceverà un'estensione di file CDXX. Quindi, il file “foto.jpg” si trasformerà in “foto.jpg.cdxx”. Poi, genera una richiesta di riscatto denominata _leggimi.txt e lo aggiunge a ogni cartella con file crittografati sul desktop. Su quella nota, vedrai il messaggio relativo a un evento dannoso e le istruzioni per il pagamento del riscatto. Sembra così:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-iVcrVFVRqu
Price of private key and decrypt software is $9999.
Discount 50% available if you contact us first 72 hours, that's price for you is $4999.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
support@freshingmail.top
Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc
Your personal ID:
ransomware CDXX condivide le stesse abitudini con la maggior parte degli altri esempi di ransomware STOP/Djvu. Questa famiglia è apparsa 2018 e contabilizzato Sopra 70% di tutti gli attacchi ransomware sugli individui. È un trendsetter nel suo settore e ha un sacco di caratteristiche tipiche qualsiasi altro gruppo ransomware che attacca singoli utenti. Somma del riscatto, modalità di notifica, precauzioni adottate per evitare l'utilizzo del backup – tutte queste cose ora sono le stesse ovunque. Ma inizialmente sono apparsi grazie al ransomware Djvu.
Come ho ottenuto il malware CDXX?
La stragrande maggioranza dei malware che attaccano singoli utenti adottano le stesse tattiche di diffusione. STOP/Djvu ransomware, in particolare la variante CDXX, non è un'esclusione. I modi più comuni di diffusione sono diversi crack del software, programmi senza licenza, e strumenti dubbi da Internet. In particolare, applicano la tattica di creare un sito monouso in cui vengono pubblicati articoli attualmente popolari. Nuovi film Marvel, nuovi giochi, o strumenti per Windows 11 Attivazione – la base per un tale manichino appare quotidianamente. Le tecniche di spam nella ricerca aumentano i risultati di ricerca di questa pagina, rendendolo il più popolare nelle relative richieste. Un collegamento per il download diretto o torrent contiene il payload sullo stesso sito.
I criminali informatici che distribuiscono questo ransomware inizialmente iniettano il malware downloader, che funge da precursore per ulteriore malware. Esso disabilita i meccanismi di sicurezza che possono potenzialmente fermare il ransomware o rendere difficile infettare il sistema. Disabilitare Windows Defender, applicare alcune modifiche alla rete, e l'adeguamento delle Politiche del Gruppo. L'ultima azione viene eseguita per limitare l'esecuzione dei file di installazione dei programmi, generalmente – soluzioni antivirus.
Processo di crittografia del virus CDXX
il ransomware continua a modificare il sistema dopo essere stato iniettato con il downloader. In particolare, Il ransomware CDXX disabilita i metodi di backup più diffusi (Copie shadow del volume e backup di OneDrive). Blocca l'accesso a determinati siti Web in cui la vittima può trovare la soluzione. Dopo di che, ransomware avvia il processo di crittografia. Secondo il codice dei campioni STOP/Djvu trapelati, esegue la cifratura in modo graduale. Primo, il ransomware esegue la scansione delle cartelle sul disco. Se rileva i file può cifrarli, si connette al server, richiede la chiave di crittografia, e avvia la crittografia. Quando il processo sarà finito, risale al processo di scansione.
Il meccanismo di crittografia utilizzato dal ransomware CDXX è AES-256. Questo standard è adottato da molte tecnologie di sicurezza. Per esempio, il tuo traffico viene crittografato con quel codice quando sei connesso al sito Web tramite una connessione HTTPS. Non è il più forte, ma non puoi decrittografarlo sui computer moderni. Con la crittografia end-to-end nella fase di connessione al server utilizzato da questo ransomware, è impossibile intercettare la chiave di decrittazione. Ciò nonostante, ciò non significa che non puoi recuperare i tuoi file.
Il ransomware CDXX completa l'ultima parte della crittografia. Applica molte altre azioni per fornire una maggiore persistenza. Il file eseguibile originale viene clonato in un file directory molto lontana da quelle tipiche scelto dal malware. Directory Temp o ProgramFiles vengono controllati anche dagli antivirus più semplici, quindi il ransomware colloca i suoi file in luoghi più profondi e meno familiari.
Come rimuovere CDXX e proteggersi dal ransomware?
Il ransomware è uno dei tipi di malware più sofisticati. È difficile da rilevare, e il processo di rimozione deve essere eseguito con la massima diligenza. Il virus CDXX è noto per bloccare l'avvio dei file eseguibili dei programmi di sicurezza. Questo blocco non è proattivo e si basa sulle modifiche apportate prima della crittografia. Quindi, è necessario aggirare questa barriera e risolverla dopo aver rimosso il ransomware. Ed è fondamentale rimuovere il virus prima di intraprendere qualsiasi altra azione – Altrimenti, il ransomware annullerà le modifiche.
Il miglior software di rimozione malware per questo scopo è Loaris Trojan Remover. Questa applicazione può rimuovere la minaccia ransomware dal tuo PC e riparare il sistema dopo l'attacco. Ha un meccanismo di scansione avanzato composto da tre diversi moduli in grado di rilevare ransomware in qualsiasi forma. Inoltre, sarai in grado di controllare tutti i luoghi sospetti con la funzione Scansione personalizzata – eseguirà la scansione della directory designata in appena un minuto.
È importante ricordare che per aggirare il ransomware che blocca l'avvio dei file esecutivi è necessario l'avvio in modalità provvisoria con rete. È possibile scaricare il programma di installazione prima o dopo l'avvio – non avrà alcuna importanza.
Per avviare il PC in modalità provvisoria, è necessario aprire il pannello Risoluzione dei problemi. Premi Win → Alimentazione, e quindi fare clic sul pulsante Riavvia tenendo premuto il tasto Maiusc. Dopo di che, vedrai la schermata Risoluzione dei problemi. Vai a Impostazioni di avvio → Windows 10 Modalità provvisoria con rete. Premi Invio e attendi il caricamento del sistema.
Modalità provvisoria in Windows presuppone che il sistema venga caricato senza determinati moduli, in particolare – i programmi di avvio e una parte delle Politiche di Gruppo. Questa modalità è utile per la rimozione del malware poiché impedisce l'avvio di programmi non elencati come sistemi e blocca la maggior parte delle restrizioni implementate dal malware.
Rimuovi il ransomware con Loaris Trojan Remover
Quando il PC viene avviato in modalità provvisoria, avviare il file di installazione di Loaris e attendere l'installazione del programma. Potrebbero essere necessari diversi minuti. Dopo di che, il programma ti offrirà per attivare una prova gratuita. Questa azione è consigliata poiché consente di utilizzare tutte le funzionalità di Trojan Remover. Inserisci semplicemente il tuo indirizzo email e ricevi un codice di prova gratuito.
Quando viene attivata la prova, avviare la scansione completa. Potrebbe durare per 20-30 minuti, quindi mantieni la pazienza. Puoi utilizzare il tuo computer durante questa operazione senza alcuna restrizione.
Dopo la scansione, vedrai l'elenco delle minacce rilevate. Per impostazione predefinita, il programma designa le azioni adatte per ogni rilevamento. In particolare, per il virus CDXX, è una rimozione. Tuttavia, puoi gestire queste azioni facendo clic sull'etichetta a destra del rilevamento se ritieni che alcuni elementi rilevati possano richiedere un'azione diversa.
Come decifrare i file CDXX?
Quello è non puoi fare molto con i file crittografati dal ransomware CDXX se tutto è stato eseguito correttamente. Questo malware presuppone l'uso di due tipi di chiavi – online e offline. Il primo è quello principale, ed è utilizzato nella maggior parte dei casi. Consiste in 256 simboli ed è unico per ogni vittima. virus CDXX lo riceve dal server dei comandi ogni volta che tenta di cifrare un'altra cartella nel file system. Tuttavia, quando non riesce a connettersi al server – perché non funziona o ci sono problemi di connettività – i file vengono cifrati con una chiave offline. La chiave offline è sempre unica per ogni variante, in questo modo tutte le vittime i cui file sono stati crittografati con la chiave offline possono essere salvate.
Emsisoft offre uno strumento per decrittografare i file dopo l'attacco STOP/Djvu. Il team dello sviluppatore raccoglie le chiavi offline e online trapelate. È 100% gratuito da usare poiché l'azienda svolge questa azione su base volontaria.
Decripta i tuoi file con Emsisoft Decryptor per STOP Djvu
Scarica e installa Emsisoft Decryptor per STOP Djvu dal sito Web dello sviluppatore. Poi, aprire l'applicazione ed effettuare alcune impostazioni primarie. È necessario specificare le cartelle in cui sono archiviati i file cifrati. Poi, puoi premere "Decrittografa" e guardare i risultati.
Durante il processo di decrittazione, puoi visualizzare determinati messaggi dal programma. Diamo un'occhiata:
-
☞ Impossibile risolvere il nome remoto
Quel messaggio indica l'errore nella risoluzione dei server Emsisoft’ DNS. Poiché il programma non porta il database delle chiavi e lo riceve dal cloud, ha bisogno di una connessione Internet stabile. In caso di questo errore, prova a reimposta il tuo file HOSTS e prova ancora.
-
☞ Nessuna chiave per l'ID online della nuova variante: [la tua carta d'identità]
Avviso: Questo è un ID online. La decrittazione è impossibile.
Lo scenario peggiore – hai i tuoi file cifrati con la chiave online. È unico per ogni vittima. Quindi non è possibile decrittografare i file con lo strumento Emsisoft.
-
☞ Nessuna chiave per l'ID offline della nuova variante: [esempio di identificazione]
Questo ID sembra essere un ID offline. Perciò, la decrittazione potrebbe essere possibile in futuro.
La nota a piè di pagina di questo messaggio spiega molto. Sei abbastanza fortunato poiché i tuoi file sono stati crittografati con un ID offline, ma non è ancora trapelata alcuna chiave per il tuo caso. Mantieni la pazienza e aspetta. La chiave potrebbe apparire tra diverse settimane.
-
☞ Errore: Impossibile decrittografare il file con ID: [la tua carta d'identità]
Questo messaggio significa che il programma Emsisoft non è riuscito a trovare la chiave corrispondente al tuo caso. Ancora, questa non è la situazione peggiore – potrebbe ancora apparire in futuro.
Recupera i tuoi file con gli strumenti di recupero file
Il decryptor che ho descritto sopra non è l'unica opzione per recuperare i file. A causa dell'algoritmo specifico applicato dal ransomware durante il processo di crittografia, , è possibile recuperare i file con strumenti di recupero file. Consiglierò PhoroRec come soluzione gratuita ed efficace.
STOP/Djvu ransomware non crittografa il file esatto. Copia il documento originale, lo cifra, quindi cancella l'originale e lo sostituisce con una copia crittografata. Nel frattempo, le tecniche di archiviazione dei file consentono di recuperare i file cancellati dal disco. Eliminare i file dal sistema operativo di solito significa eliminare le informazioni sulla posizione dei file sul disco dal file system. Allo stesso tempo, il disco conserva ancora i residui del file – finché la zona corrispondente non sarà riempita con l'altra, convalidato dal file system.
PhotoRec è uno strumento che cerca queste parti residue di file e le recupera. Può estrarre il resto dei file che hai eliminato in precedenza, ma è molto meglio recuperare i tuoi dati importanti ed eliminare i file in eccesso. Vediamo come utilizzarlo correttamente.
Utilizzo di PhotoRec per recuperare file .CDXX
Scarica PhotoRec dal sito ufficiale. È gratuito e diffuso insieme agli altri strumenti di questo sviluppatore – Disco di prova. Dal momento che è portatile, non è necessario installarlo – Appena decomprimere l'archivio scaricato e aprire la cartella. Dentro, trova il file qphotorec_win.exe e avvialo.
Nel programma, è necessario eseguire la configurazione prima di ogni scansione del disco. Primo, scegli il disco o la partizione che desideri scansionare dal menu a discesa nella parte superiore della finestra. Poi, è necessario specificare la cartella per i file recuperati. Si consiglia di scaricare tutti i file recuperati su un'unità flash USB. Finalmente, è necessario specificare i formati di file che si desidera ripristinare. PhotoRec recupera Sopra 400 formati diversi, ma optare per tutti aumenterà notevolmente il tempo di scansione. Si consiglia di aderire solo per i tipi di file necessari.
Domande frequenti
🤔Come decrittografare l'ID del ransomware online?
Purtroppo, non è possibile decrittografare l'ID online in modo regolare. La crittografia utilizzata dal ransomware CDXX è troppo complessa; decodificarlo con i computer moderni richiederà milioni di anni. Il modo più promettente per recuperare i tuoi file in caso di ID online è utilizzare gli strumenti di recupero file, come mostrato sopra.
🤔Devo pagare per il ransomware?
Potrebbe sembrare una soluzione ovvia, ma è una cattiva idea. Primo, pagando il riscatto, sponsorizzi automaticamente i truffatori, la loro attività, e l'apparecchio per il denaro che riceveranno (di solito l'attività fuorilegge simile). L'altro problema è che gli operatori di ransomware non sono sempre onesti e potrebbero chiederti di pagare ancora una volta per ottenere la chiave di decrittazione. Dal punto di vista legale, sei chiaro, ma ci sono abbastanza principi morali per sfondare.
🤔Come proteggersi dal ransomware?
Il ransomware è un malware estremamente pericoloso, quindi metodi preventivi, così come i modi per annullare l'attacco, deve essere applicato anch'esso. La maggior parte degli attacchi avviene tramite siti falsi, dove vengono diffusi programmi hackerati o filmati camrip. In alcuni rari casi, i truffatori diffondono il loro ransomware offrendo file dannosi su vari forum o chat. Tagliare queste fonti, cioè., evitando questi file, è il modo migliore per ridurre il rischio di ransomware di ordini di grandezza.
Anche affrontare le conseguenze dell’attacco ransomware deve essere un motivo di preoccupazione. Il backup regolare dei dati risolverà il problema dell'accessibilità dei dati dopo l'attacco. L'utilizzo del software speciale che sincronizzerà i tuoi dati con l'archiviazione nel cloud dopo ogni giornata lavorativa ridurrà il ritardo per il backup. Nel frattempo, i metodi di backup standard, come OneDrive o copie shadow del volume, sono inefficaci poiché il ransomware li disabilita anche prima della crittografia.
🤔Loaris è in grado di decrittografare i file CDXX?
Loaris Trojan Remover è in grado solo di rimuovere il ransomware CDXX e riparare il tuo PC dopo l'attacco. Non è uno strumento di decrittazione e non ha alcuna capacità per ripristinare il processo di cifratura. Per provare a decrittografare i file, utilizzare lo strumento di decrittazione offerto.
🤔I file CDXX sono pericolosi?
Sono gli stessi file che vedevi sul tuo disco. L'unica cosa che è stata modificata dal ransomware è la cifratura dell'intestazione del file, che contiene le informazioni chiave affinché il file system possa riconoscerlo e leggerlo. Complessivamente, non sono infetti, come nel caso di un attacco di virus informatico – hanno appena ricevuto un'alterazione dannosa. Puoi tenerli sul tuo disco senza alcuna preoccupazione per la sicurezza del tuo PC.