Shrug: Μια νέα μορφή ransomware διανέμεται με επιθέσεις drive-by, αλλά το κακόβουλο λογισμικό περιέχει σφάλματα στην κωδικοποίηση του. Παρακάτω θα δούμε πως μπορείτε να ανακτήσετε τα κλειδωμένα σας αρχεία δωρεάν.
Το Shrug ransomware εμφανίστηκε για πρώτη φορά στις 6 Ιουλίου και είναι ενσωματωμένο σε ψεύτικα λογισμικά και εφαρμογές παιχνιδιών. Όσοι κατεβάσουν μια τέτοια εφαρμογή αποκτούν και το κακόβουλο αρχείο που κλειδώνει τα αρχεία τους.
Το σημείωμα για τα λύτρα αναφέρει:
Ξέρω τι σκέφτεσαι, Τι συνέβη; Η απάντηση είναι πολύ απλή Πριν σου το πω, υποσχέσου ότι δεν θα τρελαθείς.. Εντάξει ο υπολογιστής σου είναι θύμα μιας επίθεσης Ransomware” αναφέρει το μήνυμα και στο τέλος ζητάει 50 δολάρια στο Bitcoin για την αποκρυπτογράφηση των αρχείων.
Όπως και άλλα ransomware, το σημείωμα διαθέτει και τις οδηγίες για τον τρόπο αγοράς και μεταφοράς του Bitcoin, καθώς και μια απειλή ότι όλα τα αρχεία θα καταστραφούν εντελώς σε τρεις ημέρες, αν δεν καταβληθούν τα λύτρα. Τα κρυπτογραφημένα αρχεία είναι κλειδωμένα με μια επέκταση .SHRUG.
Το Shrug χρησιμοποιεί μια τυχαία σειρά κλειδιών για κάθε χρήστη, αλλά οι ερευνητές της εταιρείας ασφαλείας LMNTRIX, ανακάλυψαν ότι οι δημιουργοί του ransomware άφησαν τα κλειδιά που χρειάζονται για το ξεκλείδωμα των αρχείων σε ένα φάκελο, επιτρέποντας έτσι στα θύματα τους να ανακτήσουν τα αρχεία τους χωρίς να πληρώσουν τα λύτρα. Τα κλειδιά βρέθηκαν ενσωματωμένα στο μητρώο, κρυπτογραφημένα.
Για να αποκρυπτογραφήσετε τα αρχεία σας που έχουν μολυνθεί από το ransomware Shrug, θα πρέπει να επανεκκινήσετε το μολυσμένο μηχάνημα για να τερματίσετε τη διεργασία που χρησιμοποιεί το ransomware για να κλειδώσει το ποντίκι και το πληκτρολόγιο.
Μετά από αυτό, θα πρέπει να ανοίξετε την Εξερεύνηση αρχείων για να πάτε στην διαδρομή εγκατάστασης του Shrug ransomware:
C:\Users\USERNAME\AppData\Local\Temp\shrug.exe
Διαγράψτε το αρχείο αρχείου εγκατάστασης shrug.exe, πατώντας μαζί Shift και Delete.
Στη συνέχεια, ανοίξτε την εφαρμογή RUN πληκτρολογώντας “RUN” στην αναζήτηση των Windows. Στη συνέχεια, πληκτρολογήστε “Regedit” για να ανοίξετε το μητρώο.
Ακολουθήστε τη διαδρομή:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Βρείτε το κλειδί που έχει σαν τίτλο “Shrug”, και διαγράψτε το. Μετά καθαρίστε τον κάδο ανακύκλωσης, και επανεκκινήστε το μηχάνημα σας και το ransomware θα εξαφανιστεί.
Το Shrug υποδεικνύει ότι είναι πιθανό να κατασκευαστούν ransomware από εγκληματίες που δεν έχουν τις απαραίτητες ικανότητες να τα κάνουν αποτελεσματικά.
Η χαμηλή αξία των λύτρων μπορεί επίσης να υποδηλώνει ότι οι επιτιθέμενοι δεν ήταν και τόσο σίγουροι για το προϊόν τους, που μπορεί να βρίσκεται ακόμα υπό ανάπτυξη.
Το κακόβουλο λογισμικό μας υπενθυμίζει για άλλη μια φορά ότι πρέπει να κατεβάζουμε λογισμικό μόνο από αξιόπιστες πηγές.
___________________
- Windows 10 April: χάσατε την επιφάνεια εργασίας σας;
- Kaspersky Lab: Ναι συλλέξαμε αρχεία της NSA
- Dark Patterns: Πώς παραπλανούν σε λάθος επιλογές απορρήτου
- Task Manager ποιες εφαρμογές καταναλώνουν περισσότερη ενέργεια;
- 600 mining servers έκαναν φτερά: κόστος 2 εκατομμύρια δολάρια