CDXX virus (.cdxx fil) Ransomware: 3 Enkle måter å gjenopprette

CDXX-viruset, en variant av STOP/Djvu løsepengevarefamilien, er beryktet for sin utbredte distribusjon. Denne skadelige programvaren er rettet mot Windows-PCer, kryptere filer til CDXX-format og legge til en løsepengenota (readme.txt) til hver mappe som inneholder krypterte filer. Dens sofistikerte krypteringsteknikker gjør det utfordrende å gjenopprette filer på konvensjonelle måter, noe som gjør det til en av de mest formidable truslene i cybersikkerhetslandskapet.

I dette innlegget, Jeg vil forklare hva som skjedde og vise deg hvordan du fjerner CDXX malware fra datamaskinen. I tillegg, du vil se flere måter å gjenopprette filer på etter løsepengevareangrepet.

Hva er CDXX Virus?

CDXX løsepengevare er en skadelig programvare som retter seg mot brukerens filer og krypterer den med en sterk chiffer (Salsa20), deaktiverer antivirusverktøy, og sletter sikkerhetskopiene. Hver fil – Word-dokument, Excel-tabell, eller bilde – vil motta en CDXX filtype. Derfor, filen “photo.jpg” vil bli til “photo.jpg.cdxx”. Deretter, den genererer en løsepenge med navnet _readme.txt og legger den til i hver mappe med krypterte filer på skrivebordet ditt. Apropos dette, du vil se meldingen om en ondsinnet hendelse og instruksjonene for løsepenger. Det ser slik ut:

Readme.txt-fil av CDXX Virus Ransomware
_readme.txt-fil opprettet av CDXX løsepengeprogramvare


ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-iVcrVFVRqu
Price of private key and decrypt software is $9999.
Discount 50% available if you contact us first 72 hours, that's price for you is $4999.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:

CDXX løsepengevare deler de samme vanene med flertallet av andre STOP/Djvu løsepengevareeksempler. Denne familien dukket opp i 2018 og redegjort for over 70% av alle ransomware-angrep på enkeltpersoner. Det er en trendsetter i sin bransje og har en haug med funksjoner som er typiske for enhver annen løsepengevaregruppe som angriper individuelle brukere. Løsepengesum, varslingsmåte, forholdsregler for å unngå bruk av sikkerhetskopiering – alle disse tingene er nå de samme overalt. Men de har først dukket opp takket være Djvu løsepengevare.

Hvordan fikk jeg CDXX malware?

Det store flertallet av skadelig programvare som angriper enkeltbrukere velger den samme spredningstaktikken. STOP/Djvu løsepengevare, spesielt CDXX-varianten, er ikke en eksklusjon. De vanligste måtene å spre på er forskjellige programvaresprekker, ulisensierte programmer, og tvilsomme verktøy fra Internett. Spesielt, de bruker taktikken for å lage et engangsnettsted hvor populære ting er lagt ut for øyeblikket. Nye Marvel-filmer, nye spill, eller verktøy for Windows 11 aktivering – grunnlaget for en slik dummy vises daglig. Søkespamteknikker øker denne sidens søkeresultater, gjør den til den mest populære i de relaterte forespørslene. En lenke for direkte- eller torrentnedlasting inneholder nyttelasten på samme side.

Disk med krypterte cdxx-filer
Disk med krypterte cdxx-filer

Nettkriminelle som distribuerer denne løsepengevaren injiserer først skadelig programvare for nedlasteren, som fungerer som en forløper for ytterligere skadelig programvare. Den deaktiverer sikkerhetsmekanismene som potensielt kan stoppe løsepengevaren eller gjøre det vanskelig å infisere systemet. Deaktivering av Windows Defender, bruke visse nettverksendringer, og justering av konsernpolicyene. Den siste handlingen gjøres for å begrense kjøringen av installasjonsfiler av programmene, som regel – antivirusløsninger.

CDXX viruskrypteringsprosess

ransomware fortsetter å endre systemet etter å ha blitt injisert med nedlasteren. Spesielt, CDXX løsepengeprogramvare deaktiverer de mest populære sikkerhetskopieringsmetodene (Volume Shadow Copies og OneDrive-sikkerhetskopier). Den blokkerer tilgangen til enkelte nettsider hvor offeret kan finne løsningen. Etter det, løsepengevare starter krypteringsprosessen. I henhold til koden for lekke STOP/Djvu-prøver, den utfører chiffreringen på en trinnvis måte. Først, ransomware skanner mappene på disken din. Hvis den oppdager filene, kan den kryptere, den kobles til serveren, ber om krypteringsnøkkelen, og starter krypteringen. Når prosessen er over, den går tilbake til skanneprosessen.

Krypteringsmekanismen som brukes av CDXX løsepengeprogramvare er AES-256. Denne standarden er valgt av mange sikkerhetsteknologier. For eksempel, trafikken din er kryptert med denne chifferen når den er koblet til nettstedet via en HTTPS-tilkobling. Den er ikke den sterkeste, men du kan ikke dekryptere det på moderne datamaskiner. Med ende-til-ende-kryptering ved tilkoblingsstadiet til serveren som brukes av denne løsepengevaren, det er umulig å avskjære dekrypteringsnøkkelen. Ikke desto mindre, det betyr ikke at du ikke kan få tilbake filene dine.

STOP/Djvu Ransomware handlingsplan

CDXX løsepengevare fullfører den siste delen av kryptering. Den bruker flere handlinger for å gi en større utholdenhet. Den originale kjørbare filen blir klonet til en katalog langt unna de typiske valgt av skadelig programvare. Temp eller ProgramFiles-kataloger kontrolleres selv av de enkleste antivirusene, så løsepengevare plasserer filene sine på dypere og mindre kjente steder.

Hvordan fjerne CDXX og beskytte deg mot løsepengeprogramvare?

Ransomware er en av de mest sofistikerte skadevaretypene. Det er vanskelig å oppdage, og fjerningsprosessen må utføres med størst mulig omhu. CDXX-viruset er kjent for å blokkere de kjørbare filene til sikkerhetsprogrammer fra å starte. Denne blokkeringen er ikke proaktiv og er basert på endringene den gjør før krypteringen. Derfor, du må omgå denne barrieren og fikse den etter at løsepengevaren er fjernet. Og det er viktig å fjerne viruset før du tar andre handlinger – ellers, ransomware vil tilbakestille endringene dine.

Den beste programvaren for fjerning av skadelig programvare for dette formålet er Loaris Trojan Remover. Denne applikasjonen kan fjerne ransomware-trusselen fra PC-en og reparere systemet etter angrepet. Den har en avansert skannemekanisme som består av tre forskjellige moduler som kan oppdage løsepengevare i enhver form. I tillegg, du vil kunne sjekke opp alle mistenkelige steder med funksjonen Custom Scan – den vil skanne den angitte katalogen på bare et minutt.

Det er viktig å nevne at å omgå løsepengevaren som blokkerer oppstarten av executive-filer krever oppstart i sikkermodus med nettverk. Du kan laste ned installasjonsprogrammet før oppstart eller etter det – det vil ikke ha noen betydning i det hele tatt.

For å starte PC-en i sikkermodus, du må åpne feilsøkingspanelet. Trykk Win → Power, og klikk deretter på Restart-knappen mens du holder nede Shift-tasten. Etter det, vil du se feilsøkingsskjermen. Gå til Oppstartsinnstillinger → Windows 10 Sikkermodus med nettverk. Trykk Enter og vent til systemet laster.

Start på nytt i sikkermodus

Sikker modus i Windows antar at systemet laster uten visse moduler, spesielt – oppstartsprogrammene og en del av Group Policys. Denne modusen er praktisk for fjerning av skadelig programvare siden den forhindrer lansering av programmer som ikke er oppført som systemer og nagler de fleste restriksjoner implementert av skadelig programvare.

Fjern løsepengevare med Loaris Trojan Remover

Når PC-en er startet opp i sikkermodus, start installasjonsfilen for Loaris og vent til programmet er installert. Det kan ta flere minutter. Etter det, programmet vil tilby deg for å aktivere en gratis prøveversjon. Denne handlingen anbefales siden den lar deg bruke den fulle funksjonaliteten til Trojan Remover. Bare legg inn e-postadressen din og motta en gratis prøvekode.

Trojan Remover hovedskjerm
Trojan Remover Hovedskjerm

Når prøveversjonen er aktivert, starte hele skanningen. Det kan vare til 20-30 minutter, så ha tålmodighet. Du kan bruke datamaskinen under denne operasjonen uten noen begrensninger.

Loaris skanner etter CDXX-filer

Etter skanningen, du vil se listen over oppdagede trusler. Som standard, programmet utpeker passende handlinger for hver deteksjon. Spesielt, for CDXX-viruset, det er en fjerning. derimot, du kan administrere disse handlingene ved å klikke på etiketten på høyre side av deteksjonen hvis du tror at enkelte gjenstander kan trenge en annen handling.

CDXX ransomware fjerningsprosess

Hvordan dekryptere CDXX-filer?

Det er ikke mye du kan gjøre med filene kryptert av CDXX løsepengevare hvis alt er gjort riktig. Denne skadelige programvaren forutsetter bruk av to nøkkeltyper – online og offline. Førstnevnte er den viktigste, og det brukes i de fleste tilfeller. Det består av 256 symboler og er unik for hvert offer. CDXX-virus mottar den fra kommandoserveren hver gang den prøver å kryptere en annen mappe i filsystemet. derimot, når den ikke klarer å koble til serveren – fordi den er nede eller det er tilkoblingsproblemer – filene er kryptert med en frakoblet nøkkel. Frakoblet nøkkel er alltid singel for hver variant, slik at alle ofre hvis filer ble kryptert med frakoblet nøkkel kan lagres.

Emsisoft tilbyr et verktøy for å dekryptere filene etter STOP/Djvu-angrepet. Utviklerteamet samler inn de lekkede offline- og onlinenøklene. Det er 100% gratis å bruke siden selskapet utfører denne handlingen på frivillig basis.

Dekrypter filene dine med Emsisoft Decryptor for STOP Djvu

Last ned og installer Emsisoft Decryptor for STOP Djvu fra utviklerens nettsted. Deretter, åpne applikasjonen og foreta et primært oppsett. Du må spesifisere mappene der de chiffrerte filene er lagret. Deretter, du kan trykke "Dekrypter" og se etter resultatene.

Emsisoft Decryptor for STOP Djvu
Fildekrypteringsprosess

Under dekrypteringsprosessen, du kan se visse meldinger fra programmet. La oss sjekke dem ut:

  • ☞ Eksternt navn kunne ikke løses

    Denne meldingen står for feilen i å løse Emsisoft-serverne’ DNS. Siden programmet ikke tar med databasen med nøkler og mottar den fra skyen, den trenger en stabil Internett-tilkobling. I tilfelle denne feilen, Prøv å tilbakestill HOSTS-filen og prøv igjen.

  • ☞ Ingen nøkkel for ny variant online ID: [ID-en din]

    Legge merke til: Dette er en online ID. Dekryptering er umulig.

    Det verste scenarioet – du har filene dine kryptert med online-nøkkelen. Det er unikt for hvert offer. Derfor kan du ikke dekryptere filene med Emsisoft-verktøyet.

  • ☞ Ingen nøkkel for ny variant offline ID: [eksempel ID]

    Denne ID-en ser ut til å være en frakoblet ID. Derfor, dekryptering kan være mulig i fremtiden.

    Fotnoten til denne meldingen forklarer mye. Du er heldig nok siden filene dine ble kryptert med en frakoblet ID, men det er ingen nøkkel lekket for saken din ennå. Ha tålmodighet og vent. Nøkkelen kan vises om flere uker.

  • ☞ Feil: Kan ikke dekryptere filen med ID: [ID-en din]

    Denne meldingen betyr at Emsisoft-programmet ikke klarte å finne den tilsvarende nøkkelen for ditt tilfelle. Fortsatt, det er ikke den verste situasjonen – det kan fortsatt vises i fremtiden.

Få tilbake filene dine med filgjenopprettingsverktøy

Dekrypteringen jeg beskrev ovenfor er ikke det eneste alternativet for å gjenopprette filene. På grunn av den spesifikke algoritmen som brukes av løsepengevare under chiffreringsprosessen, , det er mulig å komme seg filene med filgjenopprettingsverktøy. Jeg vil anbefale PhoroRec som en gratis og effektiv løsning.

STOP/Djvu løsepengevare krypterer ikke den eksakte filen. Den kopierer originaldokumentet, chiffererer det, sletter deretter originalen og erstatter den med en kryptert kopi. i mellomtiden, fillagringsteknikkene gjør det mulig å gjenopprette de slettede filene fra disken. Å slette filene fra operativsystemet betyr vanligvis å slette informasjonen om filplasseringen på disken fra filsystemet. Samtidig, disken beholder fortsatt resten av filen – inntil det tilsvarende området ikke vil bli fylt med det andre, validert av filsystemet.

PhotoRec er et verktøy som søker etter disse gjenværende fildelene og gjenoppretter dem. Den kan grave ut resten av filene du har slettet tidligere, men det er mye bedre å få viktige data tilbake og slette de overflødige filene. La oss se hvordan du bruker det riktig.

Bruke PhotoRec til å gjenopprette .CDXX-filer

Last ned PhotoRec fra den offisielle nettsiden. Det er gratis og spres sammen med det andre verktøyet fra denne utvikleren – TestDisk. Siden den er bærbar, du trenger ikke å installere det – bare pakke ut det nedlastede arkivet og åpne mappen. I det, finn filen qphotorec_win.exe og start den.

Fotoopptaksverktøy

I programmet, du må sette opp før hver diskskanning. Først, velg disken eller partisjonen du vil skanne fra rullegardinmenyen i den øvre delen av vinduet. Deretter, du må spesifisere mappen for de gjenopprettede filene. Det anbefales å dumpe alle gjenopprettede filer til en USB-flash-stasjon. Endelig, du må spesifisere filformatene du vil gjenopprette. PhotoRec gjenoppretter seg over 400 forskjellige formater, men å velge alle vil øke skannetiden betydelig. Det anbefales å registrere deg kun for filtypene du trenger.

Filgjenoppretting for CDXX

ofte stilte spørsmål

🤔Hvordan dekrypterer den elektroniske løsepenge-ID-en?

dessverre, det er ingen måte å dekryptere online-IDen på en vanlig måte. Krypteringen CDXX ransomware bruker for tøff; å dekryptere den med moderne datamaskiner vil ta millioner av år. Den mest lovende måten å få filene tilbake på i tilfelle av online ID er å bruke filgjenopprettingsverktøy, som vist ovenfor.

🤔Bør jeg betale for løsepengevaren?

Det kan se ut som en åpenbar løsning, men det er en dårlig idé. Først, ved å betale løsepenger, du sponser automatisk skurkene, deres aktivitet, og apparatet for pengene de vil motta (vanligvis lignende fredløs aktivitet). Det andre problemet er at ransomware-operatører ikke alltid er ærlige og kan be deg om å betale en gang til for å få dekrypteringsnøkkelen. Fra et juridisk synspunkt, du er tydelig, men det er nok moralske prinsipper til å bryte gjennom.

🤔Hvordan beskytter du deg mot løsepengevare?

Ransomware er en enormt tvilsom skadevare, så forebyggende metoder, samt måter å reversere angrepet, må påføres også. De fleste angrep skjer gjennom falske nettsteder, hvor hackede programmer eller filmcamrips spres. I noen sjeldne tilfeller, skurker sprer løsepenger ved å tilby ondsinnede filer på ulike fora eller chatter. Kutte disse kildene, dvs., unngå disse filene, er den beste måten å redusere løsepengevarerisikoen i størrelsesordener.

Å håndtere kjølvannet av løsepengevareangrepet må også være et problem. Å ha dataene dine sikkerhetskopiert regelmessig vil løse problemet med datatilgjengelighet etter angrepet. Bruk av spesialprogramvaren som vil synkronisere dataene dine med skylagring etter hver arbeidsdag, vil redusere tidsforsinkelsen for sikkerhetskopieringen. i mellomtiden, standard backupmetoder, som OneDrive eller Volume Shadow Copies, er ineffektive siden løsepengeprogramvare deaktiverer dem selv før krypteringen.

🤔Er Loaris i stand til å dekryptere CDXX-filer?

Loaris Trojan Remover er bare i stand til å fjerne CDXX løsepengevare og fikse PC-en etter angrepet. Det er ikke et dekrypteringsverktøy og har ingen muligheter til å tilbakestille chiffreringsprosessen. For å prøve å dekryptere filene, bruk det tilbudte dekrypteringsverktøyet.

🤔Er CDXX-filer farlige?

De er de samme som filene du pleide å se på disken din. Det eneste som ble endret av løsepengevaren er kryptering av filoverskriften, som inneholder nøkkelinformasjonen for filsystemet til å gjenkjenne og lese den. Alt i alt, de er ikke smittet, som ved et datavirusangrep – de har nettopp mottatt en ondsinnet endring. Du kan beholde dem på disken din uten bekymringer angående PC-sikkerheten.

Legg igjen en kommentar