CDXX-viruset, en variant av STOP/Djvu ransomware-familjen, är ökänd för sin utbredda spridning. Denna skadliga programvara riktar sig till Windows-datorer, kryptera filer till CDXX-format och lägga till en lösennota (readme.txt) till varje mapp som innehåller krypterade filer. Dess sofistikerade krypteringstekniker gör det svårt att återställa filer på konventionellt sätt, vilket gör det till ett av de mest formidabla hoten i cybersäkerhetslandskapet.
I detta inlägg, Jag kommer att förklara vad som hände och visa dig hur du tar bort CDXX malware från din dator. Dessutom, du kommer att se flera sätt att återställa filer efter ransomware-attacken.
Vad är CDXX Virus?
CDXX ransomware är en skadlig programvara som riktar sig mot användarens filer och krypterar den med ett starkt chiffer (Salsa20), inaktiverar antivirusverktyg, och tar bort säkerhetskopiorna. Varje fil – Word-dokument, Excel-tabell, eller foto – kommer att få en CDXX filändelse. Därav, filen “photo.jpg” kommer att förvandlas till “photo.jpg.cdxx”. Sedan, den genererar en lösenseddel med namnet _readme.txt och lägger till den i varje mapp med krypterade filer på skrivbordet. På den noten, du kommer att se meddelandet om en skadlig händelse och instruktionerna för en lösensumma. Det ser ut så här:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-iVcrVFVRqu
Price of private key and decrypt software is $9999.
Discount 50% available if you contact us first 72 hours, that's price for you is $4999.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
support@freshingmail.top
Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc
Your personal ID:
CDXX ransomware delar samma vanor med majoriteten av andra STOP/Djvu ransomware-exempel. Denna familj dök upp i 2018 och redogjorde för över 70% av alla ransomware-attacker på individer. Det är en trendsättare i sin bransch och har ett gäng funktioner som är typiska för någon annan ransomware-grupp som attackerar enskilda användare. Lösensumma, anmälningssätt, försiktighetsåtgärder för att undvika säkerhetskopiering – alla dessa saker är nu desamma överallt. Men de har initialt dykt upp tack vare Djvu ransomware.
Hur fick jag CDXX malware?
Den stora majoriteten av skadlig programvara som attackerar enstaka användare väljer samma spridningstaktik. STOP/Djvu ransomware, speciellt CDXX-varianten, är inte ett undantag. De vanligaste sätten att sprida är olika mjukvarusprickor, olicensierade program, och tvivelaktiga verktyg från Internet. Särskilt, de tillämpar taktiken för att skapa en webbplats för engångsbruk där populära saker publiceras för närvarande. Nya Marvel-filmer, nya spel, eller verktyg för Windows 11 aktivering – grunden för en sådan dummy dyker upp dagligen. Sökskräptekniker förbättrar den här sidans sökresultat, vilket gör den till den mest populära i relaterade förfrågningar. En länk för direkt- eller torrentnedladdning innehåller nyttolasten på samma webbplats.
Cyberbrottslingar som distribuerar denna ransomware injicerar initialt skadlig programvara för nedladdning, som fungerar som en föregångare för ytterligare skadlig programvara. Det inaktiverar säkerhetsmekanismerna som potentiellt kan stoppa ransomware eller göra det besvärligt att infektera systemet. Inaktiverar Windows Defender, tillämpa vissa nätverksändringar, och justering av koncernpolicyerna. Den sista åtgärden görs för att begränsa exekveringen av installationsfilerna för programmen, allmänt – antiviruslösningar.
CDXX Virus Encryption Process
ransomware fortsätter att ändra systemet efter att ha injicerats med nedladdningsprogrammet. Särskilt, CDXX ransomware inaktiverar de mest populära säkerhetskopieringsmetoderna (Volume Shadow Copies och OneDrive-säkerhetskopior). Det blockerar åtkomst till vissa webbplatser där offret kan hitta lösningen. Efter det, ransomware startar krypteringsprocessen. Enligt koden för läckta STOP/Djvu-prover, den utför chiffreringen på ett steg-för-steg sätt. Först, ransomware skannar mapparna på din disk. Om den upptäcker filerna kan den chiffra, den ansluter till servern, frågar efter krypteringsnyckeln, och startar krypteringen. När processen är över, det går tillbaka till skanningsprocessen.
Krypteringsmekanismen som används av CDXX ransomware är AES-256. Den standarden väljs av många säkerhetstekniker. Till exempel, din trafik krypteras med detta chiffer när den är ansluten till webbplatsen via en HTTPS-anslutning. Den är inte den starkaste, men du kan inte dekryptera det på moderna datorer. Med end-to-end-kryptering vid anslutningsstadiet till servern som används av denna ransomware, det är omöjligt att fånga upp dekrypteringsnyckeln. ändå, det betyder inte att du inte kan få tillbaka dina filer.
CDXX ransomware avslutar den sista delen av krypteringen. Den tillämpar flera åtgärder för att ge en större uthållighet. Den ursprungliga körbara filen klonas till en katalog långt borta från de typiska vald av skadlig programvara. Temp eller ProgramFiles kataloger kontrolleras även av de enklaste antivirus, så ransomware placerar sina filer på djupare och mindre bekanta platser.
Hur man tar bort CDXX och skyddar dig mot ransomware?
Ransomware är en av de mest sofistikerade typerna av skadlig programvara. Det är svårt att upptäcka, och borttagningsprocessen måste utföras med största omsorg. CDXX-viruset är känt för att blockera körbara filer i säkerhetsprogram från att starta. Denna blockering är inte proaktiv och baseras på de ändringar som den gör före krypteringen. Därav, du måste kringgå denna barriär och fixa den efter att ransomware har tagits bort. Och det är viktigt att ta bort viruset innan du vidtar andra åtgärder – annat, ransomware kommer att återställa dina ändringar.
Den bästa programvaran för att ta bort skadlig programvara för detta ändamål är Loaris Trojan Remover. Denna applikation kan ta bort ransomware-hotet från din dator och reparera systemet efter attacken. Den har en avancerad skanningsmekanism som består av tre olika moduler som kan upptäcka ransomware i alla former. Dessutom, du kommer att kunna kolla upp alla misstänkta platser med funktionen Custom Scan – den kommer att skanna den angivna katalogen på bara en minut.
Det är viktigt att nämna att för att kringgå ransomwaren som blockerar executive-filers lansering krävs uppstart in i felsäkert läge med nätverk. Du kan ladda ner installationsprogrammet före eller efter det – det spelar ingen roll alls.
För att starta din dator i felsäkert läge, du måste öppna felsökningspanelen. Tryck på Win→ Power, och klicka sedan på Starta om-knappen medan du håller ned Skift-tangenten. Efter det, du kommer att se felsökningsskärmen. Gå till Startinställningar → Windows 10 Säkert läge med nätverk. Tryck på Enter och vänta tills ditt system laddas.
Säkert läge i Windows förutsätter att systemet laddas utan vissa moduler, särskilt – uppstartsprogrammen och en del av Group Policies. Det här läget är bekvämt för borttagning av skadlig programvara eftersom det förhindrar lansering av program som inte är listade som system och fastställer de flesta begränsningar som implementeras av skadlig programvara.
Ta bort ransomware med Loaris Trojan Remover
När din dator startar i felsäkert läge, starta installationsfilen för Loaris och vänta tills programmet är installerat. Det kan ta flera minuter. Efter det, programmet kommer att erbjuda dig för att aktivera en gratis provperiod. Denna åtgärd rekommenderas eftersom den låter dig använda alla funktioner i Trojan Remover. Ange bara din e-postadress och få en gratis provkod.
När testversionen är aktiverad, starta hela skanningen. Det kan hålla för 20-30 minuter, så ha tålamod. Du kan använda din dator under denna operation utan några begränsningar.
Efter skanningen, du kommer att se listan över upptäckta hot. Som standard, programmet utser lämpliga åtgärder för varje detektion. Särskilt, för CDXX-viruset, det är en borttagning. dock, du kan hantera dessa åtgärder genom att klicka på etiketten till höger om upptäckten om du tror att vissa upptäckta föremål kan behöva en annan åtgärd.
Hur man dekrypterar CDXX-filer?
Det är inte mycket du kan göra med filerna krypterade av CDXX ransomware om allt görs korrekt. Denna skadliga programvara förutsätter användning av två nyckeltyper – online och offline. Den förra är den främsta, och det används i de flesta fall. Den består av 256 symboler och är unik för varje offer. CDXX-virus tar emot det från kommandoservern varje gång den försöker kryptera en annan mapp i filsystemet. dock, när den inte kan ansluta till servern – eftersom det är nere eller det finns anslutningsproblem – filerna är chiffrerade med en offlinenyckel. Offlinenyckeln är alltid singel för varje variant, så att alla offer vars filer krypterades med offlinenyckeln kan sparas.
Emsisoft erbjuder ett verktyg för att dekryptera filerna efter STOP/Djvu-attacken. Utvecklarens team samlar in de läckta offline- och onlinenycklarna. Det är 100% gratis att använda eftersom företaget utför denna åtgärd på frivillig basis.
Dekryptera dina filer med Emsisoft Decryptor for STOP Djvu
ladda ner och installera Emsisoft Decryptor för STOP Djvu från utvecklarens webbplats. Sedan, öppna programmet och gör några primära inställningar. Du måste ange de mappar där de chiffrerade filerna lagras. Sedan, du kan trycka på "Dekryptera" och se efter resultaten.
Under dekrypteringsprocessen, du kan se vissa meddelanden från programmet. Låt oss kolla upp dem:
-
☞ Fjärrnamnet kunde inte lösas
Det meddelandet står för felet i att lösa Emsisoft-servrarna’ DNS. Eftersom programmet inte tar med databasen med nycklar och tar emot det från molnet, den behöver en stabil internetanslutning. Vid detta fel, försöka återställ din HOSTS-fil och försök igen.
-
☞ Ingen nyckel för ny variant online-ID: [Ditt ID]
Lägga märke till: Detta är ett online-ID. Dekryptering är omöjligt.
Det värsta scenariot – du har dina filer chiffrerade med onlinenyckeln. Det är unikt för varje offer. Därför kan du inte dekryptera filerna med Emsisoft-verktyget.
-
☞ Ingen nyckel för ny variant offline-ID: [exempel-ID]
Detta ID verkar vara ett offline-ID. Därför, dekryptering kan vara möjlig i framtiden.
Fotnoten till detta meddelande förklarar mycket. Du har turen att dina filer chiffrerades med ett offline-ID, men det har inte läckt någon nyckel till ditt fall ännu. Ha tålamod och vänta. Nyckeln kan dyka upp om flera veckor.
-
☞ Fel: Det går inte att dekryptera filen med ID: [Ditt ID]
Det meddelandet betyder att Emsisoft-programmet inte kunde hitta motsvarande nyckel för ditt fall. Fortfarande, det är inte den värsta situationen – det kan fortfarande dyka upp i framtiden.
Få tillbaka dina filer med filåterställningsverktyg
Dekryptatorn jag beskrev ovan är inte det enda alternativet för att återställa filerna. På grund av den specifika algoritm som tillämpas av ransomware under krypteringsprocessen, , det går att återhämta sig filerna med filåterställningsverktyg. Jag kommer att rekommendera PhoroRec som en gratis och effektiv lösning.
STOP/Djvu ransomware krypterar inte den exakta filen. Den kopierar originaldokumentet, chiffrar det, raderar sedan originalet och ersätter det med en krypterad kopia. Under tiden, fillagringsteknikerna gör det möjligt att återställa de raderade filerna från disken. Att ta bort filerna från operativsystemet innebär vanligtvis att man tar bort informationen om filplatsen på disken från filsystemet. På samma gång, skivan behåller fortfarande resten av filen – tills motsvarande område inte kommer att fyllas med det andra, valideras av filsystemet.
PhotoRec är ett verktyg som söker efter dessa kvarvarande fildelar och återställer dem. Det kan gräva fram resten av filerna du har tagit bort tidigare, men det är mycket bättre att få tillbaka dina viktiga data och ta bort alltför många filer. Låt oss se hur du använder den på rätt sätt.
Använda PhotoRec för att återställa .CDXX-filer
Ladda ner PhotoRec från den officiella webbplatsen. Det är gratis och sprids tillsammans med det andra verktyget från denna utvecklare – TestDisk. Eftersom den är bärbar, du behöver inte installera den – bara packa upp det nedladdade arkivet och öppna mappen. I det, hitta filen qphotorec_win.exe och starta den.
I programmet, du måste ställa in före varje diskskanning. Först, välj disken eller partitionen du vill skanna från rullgardinsmenyn i den övre delen av fönstret. Sedan, du måste ange mappen för de återställda filerna. Det rekommenderas att dumpa alla återställda filer till ett USB-minne. Till sist, du måste ange de filformat du vill återställa. PhotoRec återställer sig över 400 olika format, men att välja alla kommer att avsevärt öka skanningstiden. Det rekommenderas att du endast väljer de filtyper du behöver.
Vanliga frågor
🤔Hur man dekrypterar online-id för ransomware?
Tyvärr, det finns inget sätt att dekryptera online-ID på ett vanligt sätt. Krypteringen CDXX ransomware använder för tuff; att dekryptera den med moderna datorer kommer att ta miljontals år. Det mest lovande sättet att få tillbaka dina filer i fallet med online-ID är att använda filåterställningsverktyg, som visas ovan.
🤔Ska jag betala för ransomware?
Det kan se ut som en självklar lösning, men det är en dålig idé. Först, genom att betala lösen, du sponsrar automatiskt skurkarna, deras verksamhet, och apparaten för pengarna de kommer att få (vanligtvis liknande fredlös verksamhet). Det andra problemet är att ransomware-operatörer inte alltid är ärliga och kan be dig att betala en gång till för att få dekrypteringsnyckeln. Ur juridisk synvinkel, du är tydlig, men det finns tillräckligt med moraliska principer för att slå igenom.
🤔Så här skyddar du dig mot ransomware?
Ransomware är en oerhört tvivelaktig skadlig kod, så förebyggande metoder, samt sätt att återställa attacken, måste tillämpas också. De flesta attacker sker via falska sajter, där hackade program eller filmcamrips sprids. I vissa sällsynta fall, skurkar sprider sin ransomware genom att erbjuda skadliga filer på olika forum eller chattar. Klippa dessa källor, dvs., undvika dessa filer, är det bästa sättet att minska risken för ransomware i storleksordningar.
Att hantera efterdyningarna av ransomware-attacken måste också vara ett problem. Att ha dina data säkerhetskopierade regelbundet kommer att lösa problemet med datatillgänglighet efter attacken. Att använda den speciella programvaran som synkroniserar dina data med molnlagring efter varje arbetsdag kommer att minska tidsfördröjningen för säkerhetskopieringen. Under tiden, standardmetoderna för säkerhetskopiering, som OneDrive eller Volume Shadow Copies, är ineffektiva eftersom ransomware inaktiverar dem redan före krypteringen.
🤔Kan Loaris dekryptera CDXX-filer?
Loaris Trojan Remover kan bara ta bort CDXX ransomware och fixa din dator efter attacken. Det är inte ett dekrypteringsverktyg och har inga möjligheter att återställa krypteringsprocessen. För att försöka dekryptera filerna, använd det erbjudna dekrypteringsverktyget.
🤔Är CDXX-filer farliga?
De är samma som filerna du brukade se på din disk. Det enda som ändrades av ransomware är chiffreringen av filhuvudet, som innehåller nyckelinformationen för filsystemet att känna igen och läsa den. Övergripande, de är inte infekterade, som i fallet med ett datavirusattack – de fick precis en skadlig ändring. Du kan behålla dem på din hårddisk utan några problem angående din datorsäkerhet.