Wirus CDXX, wariant rodziny ransomware STOP/Djvu, słynie z szerokiego rozpowszechnienia. Szkodnik ten atakuje komputery z systemem Windows, szyfrowanie plików do formatu CDXX i dołączanie notatki z żądaniem okupu (readme.txt) do każdego folderu zawierającego zaszyfrowane pliki. Zaawansowane techniki szyfrowania utrudniają odzyskiwanie plików konwencjonalnymi metodami, co czyni go jednym z najpoważniejszych zagrożeń w krajobrazie cyberbezpieczeństwa.
W tym poście, Wyjaśnię, co się stało i pokażę, jak usunąć złośliwe oprogramowanie CDXX z komputera. Ponadto, zobaczysz kilka sposobów odzyskiwania plików po ataku ransomware.
Co to jest wirus CDXX?
Ransomware CDXX to złośliwe oprogramowanie, którego celem są pliki użytkownika i szyfruje go silnym szyfrem (Salsa20), wyłącza narzędzia antywirusowe, i usuwa kopie zapasowe. Każdy plik – Dokument Worda, Tabela Excela, lub zdjęcie – otrzyma rozszerzenie pliku CDXX. Stąd, plik “zdjęcie.jpg” zamieni się w “foto.jpg.cdxx”. Następnie, generuje żądanie okupu o nazwie _readme.txt i dodaje go do każdego folderu z zaszyfrowanymi plikami na pulpicie. W tej notatce, zobaczysz komunikat o złośliwym zdarzeniu oraz instrukcje dotyczące płatności okupu. To wygląda tak:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-iVcrVFVRqu
Price of private key and decrypt software is $9999.
Discount 50% available if you contact us first 72 hours, that's price for you is $4999.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
support@freshingmail.top
Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc
Your personal ID:
Oprogramowanie ransomware CDXX ma te same nawyki co większość innych przykładów ransomware STOP/Djvu. Ta rodzina pojawiła się w 2018 i rozliczone nad 70% wszystkich ataków ransomware na osoby. Jest wyznacznikiem trendów w swojej branży i posiada szereg cech charakterystycznych dla niej jakakolwiek inna grupa oprogramowania ransomware który atakuje indywidualnych użytkowników. Suma okupu, sposób powiadamiania, podjęte środki ostrożności, aby uniknąć użycia kopii zapasowej – wszystkie te rzeczy są teraz wszędzie takie same. Jednak początkowo pojawiły się dzięki oprogramowaniu ransomware Djvu.
Jak zdobyłem złośliwe oprogramowanie CDXX?
Zdecydowana większość złośliwego oprogramowania atakującego pojedynczych użytkowników stosuje tę samą taktykę rozprzestrzeniania się. Oprogramowanie ransomware STOP/Djvu, szczególnie wariant CDXX, nie jest wykluczeniem. Najczęstszymi sposobami rozprzestrzeniania się są różne pęknięcia oprogramowania, nielicencjonowane programy, i wątpliwe narzędzia z Internetu. W szczególności, stosują taktykę tworzenia jednorazowej witryny, na której zamieszczane są aktualnie popularne treści. Nowe filmy Marvela, nowe gry, lub narzędzia dla systemu Windows 11 aktywacja – podstawa do takiego manekina pojawia się codziennie. Techniki spamu w wyszukiwarce poprawiają wyniki wyszukiwania tej strony, co czyni go najpopularniejszym w powiązanych żądaniach. Link do bezpośredniego lub torrentowego pobrania zawiera ładunek w tej samej witrynie.
Cyberprzestępcy dystrybuujący to oprogramowanie ransomware początkowo wprowadzają szkodliwe oprogramowanie pobierające, który działa jako prekursor dla dalszego szkodliwego oprogramowania. To wyłącza mechanizmy bezpieczeństwa które mogą potencjalnie zatrzymać oprogramowanie ransomware lub utrudnić zainfekowanie systemu. Wyłączanie programu Windows Defender, zastosowanie pewnych zmian sieciowych, i dostosowywanie Zasad Grupy. Ostatnia akcja ma na celu ograniczenie wykonywania plików instalacyjnych programów, ogólnie – rozwiązania antywirusowe.
Proces szyfrowania wirusa CDXX
ransomware nadal zmienia system po wstrzyknięciu downloadera. W szczególności, Ransomware CDXX wyłącza najpopularniejsze metody tworzenia kopii zapasowych (Kopie woluminów w tle i kopie zapasowe OneDrive). Blokuje dostęp do niektórych stron internetowych, na których ofiara może znaleźć rozwiązanie. Po tym, ransomware rozpoczyna proces szyfrowania. Według kodu próbek STOP/Djvu, które wyciekły, wykonuje szyfrowanie w sposób krok po kroku. Pierwszy, ransomware skanuje foldery na dysku. Jeśli wykryje pliki, może je zaszyfrować, łączy się z serwerem, prosi o klucz szyfrowania, i rozpoczyna szyfrowanie. Kiedy proces się zakończy, wraca do procesu skanowania.
Mechanizm szyfrowania używany przez ransomware CDXX jest AES-256. Ten standard jest wybierany przez wiele technologii bezpieczeństwa. Na przykład, Twój ruch jest szyfrowany tym szyfrem, gdy łączysz się ze stroną internetową za pośrednictwem połączenia HTTPS. Nie jest najmocniejszy, ale nie można go odszyfrować na nowoczesnych komputerach. Z kompleksowym szyfrowaniem na etapie połączenia z serwerem używanym przez to ransomware, niemożliwe jest przechwycenie klucza deszyfrującego. Niemniej jednak, nie oznacza to, że nie możesz odzyskać swoich plików.
Ransomware CDXX kończy ostatnią część szyfrowania. Stosuje kilka dodatkowych działań, aby zapewnić większą trwałość. Oryginalny plik wykonywalny jest klonowany do pliku katalog daleki od typowych wybrany przez złośliwe oprogramowanie. Katalogi Temp lub ProgramFiles są sprawdzane nawet przez najprostsze programy antywirusowe, dlatego ransomware umieszcza swoje pliki w głębszych i mniej znanych miejscach.
Jak usunąć CDXX i chronić się przed oprogramowaniem ransomware?
Ransomware to jeden z najbardziej wyrafinowanych typów złośliwego oprogramowania. Jest to trudne do wykrycia, a proces usuwania należy przeprowadzić z maksymalną starannością. Wirus CDXX jest znany z blokowania uruchamiania plików wykonywalnych programów zabezpieczających. Blokowanie to nie ma charakteru proaktywnego i opiera się na zmianach wprowadzonych przed szyfrowaniem. Stąd, musisz ominąć tę barierę i naprawić ją po usunięciu ransomware. Ważne jest, aby usunąć wirusa przed podjęciem jakichkolwiek innych działań – W przeciwnym razie, ransomware cofnie Twoje zmiany.
Najlepszym oprogramowaniem do usuwania złośliwego oprogramowania do tego celu jest Loaris Trojan Remover. Ta aplikacja może usunąć zagrożenie ransomware z komputera i naprawić system po ataku. Posiada zaawansowany mechanizm skanowania, który składa się z trzech różnych modułów, które potrafią wykryć oprogramowanie ransomware w dowolnej formie. Dodatkowo, będziesz mógł sprawdzić wszystkie podejrzane miejsca z funkcją skanowania niestandardowego – przeskanuje wyznaczony katalog w ciągu zaledwie minuty.
Należy wspomnieć, że obejście oprogramowania ransomware blokującego uruchamianie plików wykonawczych wymaga uruchomienia komputera w Tryb Awaryjny z Obsługą Sieci. Instalator możesz pobrać przed uruchomieniem lub po nim – to nie będzie miało żadnego znaczenia.
Aby uruchomić komputer w trybie awaryjnym, musisz otworzyć panel Rozwiązywanie problemów. Naciśnij Win → Zasilanie, a następnie kliknij przycisk Uruchom ponownie, przytrzymując klawisz Shift. Po tym, zobaczysz ekran rozwiązywania problemów. Iść do Ustawienia uruchamiania → Windows 10 Tryb bezpieczny w sieci. Naciśnij Enter i poczekaj, aż system się załaduje.
Tryb awaryjny w systemie Windows zakłada ładowanie systemu bez określonych modułów, w szczególności – programy startowe i część Zasad Grupy. Ten tryb jest wygodny do usuwania złośliwego oprogramowania, ponieważ zapobiega uruchamianiu programów, które nie są wymienione jako systemy i eliminuje większość ograniczeń wdrażanych przez złośliwe oprogramowanie.
Usuń oprogramowanie ransomware za pomocą narzędzia Loaris Trojan Remover
Gdy komputer zostanie uruchomiony w trybie awaryjnym, uruchom plik instalacyjny Loaris i poczekaj, aż program zostanie zainstalowany. Może to zająć kilka minut. Po tym, program Ci to zaoferuje aby aktywować bezpłatny okres próbny. Ta czynność jest zalecana, ponieważ pozwala na wykorzystanie pełnej funkcjonalności narzędzia Trojan Remover. Wystarczy, że podasz swój adres e-mail i otrzymasz darmowy kod próbny.
Kiedy wersja próbna jest aktywowana, uruchom pełne skanowanie. To może trwać Do 20-30 minuty, więc zachowaj cierpliwość. Podczas tej operacji możesz korzystać z komputera bez żadnych ograniczeń.
Po skanie, zobaczysz listę wykrytych zagrożeń. Domyślnie, program wyznacza odpowiednie działania dla każdego wykrycia. W szczególności, dla wirusa CDXX, to jest usunięcie. Jednakże, możesz zarządzać tymi działaniami, klikając etykietę po prawej stronie wykrycia, jeśli uważasz, że niektóre wykryte elementy mogą wymagać innego działania.
Jak odszyfrować pliki CDXX?
Jest to niewiele możesz zrobić z plikami zaszyfrowanymi przez ransomware CDXX, jeśli wszystko zostanie wykonane poprawnie. Szkodnik ten zakłada użycie dwóch typów kluczy – online i offline. Ten pierwszy jest głównym, i jest on stosowany w większości przypadków. Składa się ona z 256 symbole i jest unikalny dla każdej ofiary. Wirus CDXX otrzymuje go z serwera poleceń za każdym razem, gdy próbuje zaszyfrować inny folder w systemie plików. Jednakże, gdy nie uda się połączyć z serwerem – ponieważ nie działa lub występują problemy z łącznością – pliki są szyfrowane kluczem offline. Klucz offline jest zawsze pojedynczy dla każdego wariantu, aby można było uratować wszystkie ofiary, których pliki zostały zaszyfrowane kluczem offline.
Emsisoft oferuje narzędzie do odszyfrowania plików po ataku STOP/Djvu. Zespół programistów zbiera klucze offline i online, które wyciekły. To jest 100% darmowy ponieważ spółka wykonuje tę czynność na zasadzie dobrowolności.
Odszyfruj swoje pliki za pomocą Emsisoft Decryptor dla STOP Djvu
Ściągnij i zainstaluj Emsisoft Deszyfrator dla STOP Djvu ze strony internetowej dewelopera. Następnie, otwórz aplikację i dokonaj podstawowej konfiguracji. Musisz określić foldery, w których przechowywane są zaszyfrowane pliki. Następnie, możesz nacisnąć „Odszyfruj” i poczekać na wyniki.
Podczas procesu deszyfrowania, możesz oglądać określone wiadomości z programu. Sprawdźmy je:
-
☞ Nie można rozpoznać nazwy zdalnej
Komunikat ten oznacza błąd w rozpoznawaniu serwerów Emsisoft’ DNS. Ponieważ program nie pobiera bazy danych kluczy i odbiera ją z chmury, potrzebuje stabilnego połączenia z Internetem. W przypadku tego błędu, Spróbuj zresetuj plik HOSTS i spróbuj ponownie.
-
☞ Brak klucza do identyfikatora online nowego wariantu: [Twój dowód osobisty]
Ogłoszenie: To jest identyfikator internetowy. Odszyfrowanie jest niemożliwe.
Najgorszy scenariusz – masz swoje pliki zaszyfrowane kluczem online. Jest ona wyjątkowa dla każdej ofiary. Dlatego nie można odszyfrować plików za pomocą narzędzia Emsisoft.
-
☞ Brak klucza dla identyfikatora offline nowego wariantu: [przykładowy identyfikator]
Ten identyfikator wygląda na identyfikator offline. Dlatego, odszyfrowanie może być możliwe w przyszłości.
Przypis do tej wiadomości wiele wyjaśnia. Masz szczęście, ponieważ Twoje pliki zostały zaszyfrowane przy użyciu identyfikatora offline, ale nie wyciekł jeszcze żaden klucz do Twojej sprawy. Zachowaj cierpliwość i czekaj. Klucz może pojawić się za kilka tygodni.
-
☞ Błąd: Nie można odszyfrować pliku z identyfikatorem: [Twój dowód osobisty]
Komunikat ten oznacza, że program Emsisoft nie znalazł odpowiedniego klucza dla Twojej sprawy. Nadal, to nie jest najgorsza sytuacja – może jeszcze pojawić się w przyszłości.
Odzyskaj swoje pliki za pomocą narzędzi do odzyskiwania plików
Deszyfrator, który opisałem powyżej nie jest jedyną opcją do odzyskiwania plików. Ze względu na specyficzny algorytm stosowany przez oprogramowanie ransomware podczas procesu szyfrowania, , można odzyskać pliki za pomocą narzędzi do odzyskiwania plików. Będę polecał PhoroRec jako darmowe i skuteczne rozwiązanie.
Oprogramowanie ransomware STOP/Djvu nie szyfruje dokładnego pliku. Kopiuje oryginalny dokument, szyfruje to, następnie usuwa oryginał i zastępuje go zaszyfrowaną kopią. Tymczasem, techniki przechowywania plików pozwalają na odzyskanie usuniętych plików z dysku. Usunięcie plików z systemu operacyjnego zwykle oznacza usunięcie z systemu plików informacji o lokalizacji pliku na dysku. W tym samym czasie, na dysku nadal znajdują się pozostałości pliku – dopóki odpowiedni obszar nie zostanie wypełniony drugim, zweryfikowane przez system plików.
PhotoRec to narzędzie, które wyszukuje pozostałe części plików i odzyskuje je. Może wykopać resztę plików, które wcześniej usunąłeś, ale znacznie lepiej jest odzyskać ważne dane i usunąć niepotrzebne pliki. Zobaczmy, jak prawidłowo go używać.
Korzystanie z PhotoRec do odzyskiwania plików .CDXX
Pobierz PhotoRec z oficjalnej strony internetowej. Jest darmowy i rozpowszechniany razem z innym narzędziem tego dewelopera – Dysk Testowy. Ponieważ jest przenośny, nie musisz go instalować – Tylko rozpakuj pobrane archiwum i otwórz folder. W tym, znajdź plik qphotorec_win.exe i uruchom go.
W programie, należy skonfigurować przed każdym skanowaniem dysku. Pierwszy, z rozwijanego menu w górnej części okna wybierz dysk lub partycję, którą chcesz przeskanować. Następnie, musisz określić folder dla odzyskanych plików. Zaleca się zrzucenie wszystkich odzyskanych plików na dysk flash USB. Wreszcie, musisz określić formaty plików, które chcesz odzyskać. PhotoRec odzyskuje siły nad 400 różne formaty, ale wybranie wszystkich znacznie wydłuży czas skanowania. Zaleca się zaznaczenie tylko potrzebnych typów plików.
Często Zadawane Pytania
🤔Jak odszyfrować identyfikator ransomware online?
Niestety, nie ma możliwości normalnego odszyfrowania identyfikatora internetowego. Oprogramowanie ransomware CDXX szyfrujące używa zbyt trudnego narzędzia; odszyfrowanie go za pomocą nowoczesnych komputerów zajmie miliony lat. Najbardziej obiecującym sposobem na odzyskanie plików w przypadku identyfikatora internetowego jest użycie narzędzi do odzyskiwania plików, jak pokazane powyżej.
🤔Czy powinienem płacić za oprogramowanie ransomware??
Może się to wydawać oczywistym rozwiązaniem, ale to zły pomysł. Pierwszy, płacąc okup, automatycznie sponsorujesz oszustów, ich działalność, i urządzenie za otrzymane pieniądze (zwykle podobna działalność wyjęta spod prawa). Innym problemem jest to, że operatorzy oprogramowania ransomware nie zawsze są uczciwi i mogą poprosić Cię o ponowną zapłatę, aby uzyskać klucz odszyfrowywania. Z prawnego punktu widzenia, jesteś czysty, ale jest wystarczająco dużo zasad moralnych, aby się przełamać.
🤔Jak chronić się przed oprogramowaniem ransomware?
Ransomware to niezwykle podejrzane złośliwe oprogramowanie, więc metody zapobiegawcze, a także sposoby odwrócenia ataku, też trzeba zastosować. Większość ataków ma miejsce za pośrednictwem fałszywych witryn, gdzie rozprzestrzeniają się zhakowane programy lub obozy filmowe. W niektórych rzadkich przypadkach, oszuści rozprzestrzeniają swoje oprogramowanie ransomware, oferując złośliwe pliki na różnych forach lub czatach. Cięcie tych źródeł, tj., unikanie tych plików, to najlepszy sposób na zmniejszenie zagrożenia oprogramowaniem ransomware o rząd wielkości.
Radzenie sobie z następstwami ataku oprogramowania ransomware również musi budzić niepokój. Regularne tworzenie kopii zapasowych danych rozwiąże problem dostępności danych po ataku. Korzystanie ze specjalnego oprogramowania, które po każdym dniu pracy będzie synchronizować Twoje dane z chmurą, skróci czas tworzenia kopii zapasowej. Tymczasem, standardowe metody tworzenia kopii zapasowych, jak OneDrive lub kopie woluminów w tle, są nieskuteczne, ponieważ ransomware wyłącza je jeszcze przed szyfrowaniem.
🤔Czy Loaris jest w stanie odszyfrować pliki CDXX?
Loaris Trojan Remover jest w stanie usunąć jedynie oprogramowanie ransomware CDXX i naprawić komputer po ataku. Nie jest to narzędzie deszyfrujące i nie ma żadnych możliwości przywrócenia procesu szyfrowania. Aby spróbować odszyfrować pliki, skorzystaj z oferowanego narzędzia deszyfrującego.
🤔Czy pliki CDXX są niebezpieczne??
Są takie same, jak pliki, które widziałeś na dysku. Jedyną rzeczą, która została zmieniona przez ransomware, jest szyfrowanie nagłówka pliku, który zawiera kluczowe informacje umożliwiające systemowi plików rozpoznanie i odczytanie go. Ogólnie, nie są zarażeni, jak w przypadku ataku wirusa komputerowego – właśnie otrzymali złośliwą zmianę. Możesz przechowywać je na swoim dysku bez obaw o bezpieczeństwo swojego komputera.