GUCCI viruso šalinimas (virusai)

Kas yra GUCCI ransomware?

GUCCI ransomware užrakina asmeninius vartotojų failus ir gali pažeisti operacinę sistemą

GUCCI ransomware užrakina vartotojų duomenis ir jų nebeįmanoma atidaryti.

GUCCI ransomware yra vienas iš naujausių duomenis užrakinančių kenkėjiškų programų variantų, priklausančių Phobos ransomware šeimai. 54 saugumo specialistai pažymėjo šią programą kaip kenkėjišką. Virusas gali patekti į sistemą ir nedelsiant pradėti šifravimo procesą.

Vos tik virusas pradeda savo veiklą, visi asmeniniai failai, pvz., nuotraukos, vaizdo įrašai ir dokumentai, būna užšifruojami. Tai reiškia, kad jie tampa neprieinami ir netinkami naudoti. Vienintelis būdas iššifruoti duomenis yra iššifravimo raktas arba programinė įranga, kurią paprastai turi tik patį virusą sukūrę kibernetiniai nusikaltėliai.

Pasibaigus šifravimo procesui, failų piktogramos virsta baltais puslapiais, o prie jų pavadinimų pridedamas .GUCCI plėtinys. Pavyzdžiui, jei failas anksčiau buvo pavadintas paveiksliukas.jpg, po užbaigto proceso tas pats failas bus pavadintas paveiksliukas.jpg.id[aukos-ID].[tox].GUCCI.

Įrenginyje taip pat sugeneruojami du išpirkos pranešimai. Šiose ransomware kūrėjų žinutėse aukoms paaiškinama, kas atsitiko ir ką reikia padaryti, kad atkurtų failus. Deja, kibernetiniai nusikaltėliai šantažuoja vartotojus, prašydami sumokėti išpirką kriptovaliuta.

Išpirkos pranešimas

Pilna info.hta išpirkos žinutė atrodo taip:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them:
write us to the TOX messenger: tox: CD54A20BCCDAA8209805BB8D4BDE15D542A66CF6E155783ECBE7549D0D6FBD0A59C16E9FD95C
You can download TOX messenger here hxxps://tox.chat/
Write this ID in the title of your message –
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us 1 file for free decryption. The total size of files must be less than 5Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
We also want to notify you that the most important data of your company was copied by us, but we guarantee the confidentiality of private information and information about this incident in case of successful cooperation. Otherwise, we reserve the right to monetize our services by selling your information at specialized auctions.

Kibernetiniai nusikaltėliai pateikia ilgą išpirkos žinutę, reikalaudami susimokėti.

Užpuolikai skubina aukas sakydami, kad išpirkos suma priklauso nuo to, kaip greitai aukos su jais susisieks. Tai viena iš daugelio gąsdinimo taktikų, kurias naudoja kibernetiniai nusikaltėliai, norėdami priversti žmones veikti greitai, negalvojant apie kitas galimybes. Štai kodėl raštelyje taip pat nėra nurodyta išpirkos suma.

Jie taip pat siūlo nemokamai iššifruoti vieną failą, kad taip atrodytų patikimesni. Tačiau atminkite, kad nusikaltėliais negalima pasitikėti. Daug ankstesnių ransomware atakų aukų pranešė, kad po to, kai sumokėjo pinigus, iš nusikaltėlių nieko negavo.

Jų siūlomas mokėjimo būdas taip pat nėra labai palankus aukoms. Kriptovaliutų operacijos yra anoniminės ir jų neįmanoma atšaukti. Kai žmonės išsiunčia lėšas, jų neįmanoma susigrąžinti ar atgauti kokiu nors kitu būdu. Štai kodėl mokėdami ransomware kūrėjams rizikuojate ne tik prarasti failus, bet ir būti apgauti.

Sukčiai taip pat bando neleisti žmonėms ieškoti kitų failų atkūrimo galimybių, pasitelkdami bauginimo taktiką. Nors trečiųjų šalių iššifravimo įrankiai retai padeda, vis tiek verta juos išbandyti. Kitas išpirkos pranešimas info.txt yra tik trumpesnė ankstesnio pranešimo versija:

!!!All of your files are encrypted!!!
To decrypt them:
TOX messenger: CD54A20BCCDAA8209805BB8D4BDE15D542A66CF6E155783ECBE7549D0D6FBD0A59C16E9FD95C
You can download TOX messenger here hxxps://tox.chat/
We also want to notify you that the most important data of your company was copied by us,
but we guarantee the confidentiality of private information and information about this incident
in case of successful cooperation. Otherwise, we reserve the right to monetize our services by selling your
information at specialized auctions.

GUCCI ransomware kūrėjai gąsdina, jog parduos gautą informaciją kitiems, jeigu negaus reikalaujamos išpirkos.

Norėdami pašalinti kenkėjiškus failus, naudokite profesionalius saugos įrankius

Tai, ką turite padaryti nedelsiant, yra atjungti paveiktą įrenginį nuo vietinio tinklo. Namų vartotojai turėtų atjungti eterneto kabelį arba išjungti „Wi-Fi“. Jei tai atsitiko jūsų darbo vietoje, tai padaryti gali būti sudėtinga, todėl šio įrašo apačioje pateikiame atskiras instrukcijas.

Jei pirmiausia bandysite atkurti duomenis, jie gali būti prarasti visam laikui. Kenkėjiška programa taip pat gali užšifruoti jūsų failus antrą kartą, jei ji nepašalinama iš pat pradžių. Šis virusas nesustos, kol nepašalinsite iš kompiuterio visų jo pėdsakų. Tiesa, neturėtumėte bandyti patys pašalinti tokią kenkėjišką programą, tai darykite nebent tuo atveju, jei turite puikius IT įgūdžius.

Sistemai nuskaityti naudokite tinkamas saugos programas, tokias kaip SpyHunter 5Combo Cleaner arba Malwarebytes. Šios programos turėtų rasti visus susijusius failus ir įrašus ir automatiškai juos pašalinti. Kai kuriais atvejais kenkėjiška programa gali neleisti naudoti antivirusinės programinės įrangos, todėl turite pasiekti saugųjį režimą (Safe Mode) ir tuomet atlikti sistemos nuskaitymą:

Windows 7 / Vista / XP

1. Paspauskite Start > Shutdown > Restart > OK,
2. kai kompiuteris suaktyvėja, pradėkite kelis kartus spausdinėti F8 mygtuką (jei tai neveikia, pabandykite F2, F12, Del ir pan., nes viskas priklauso nuo pagrindinės plokštės modelio), kol išvysite Advanced Boot Options langą,
3. sąraše pasirinkite Safe Mode with Networking.

Windows 10 / Windows 8

1. Dešiniuoju pelės mygtuku spustelėkite Start mygtuką ir pasirinkite Settings,
2. slinkite žemyn, kad pasirinktumėte Update & Security,
3. kairėje lango pusėje pasirinkite Recovery,
4. dabar slinkite žemyn, kad rastumėte Advanced Startup skyrių,
5. spustelėkite Restart now,
6. pasirinkite Troubleshoot,
7. eikite į Advanced options,
8. pasirinkite Startup Settings,
9. spustelėkite Restart,
10. paspauskite 5 arba spustelkite 5) Enable Safe Mode with Networking.

Ištaisykite sistemos klaidas, jei norite išvengti „Windows“ diegimo iš naujo

Užsikrėtus kenkėjiška programa, gali kilti našumo, stabilumo ir naudojimo problemų. Jos gali būti tokios rimtos, jog galiausiai gali tekti iš naujo įdiegti „Windows“. Šio tipo virusai gali pakeisti „Windows“ registro duomenų bazę, sugadinti gyvybiškai svarbias funkcijas, ištrinti arba sugadinti DLL failus ir t. t.. Kai virusas sugadina sisteminį failą, antivirusinė programa negali jo pataisyti.

Štai kodėl buvo sukurta FortectIntego. Ši galinga programa gali ištaisyti daug žalos, kurią sukelia GUCCI ransomware. „Blue Screen“ klaidos, registro klaidos, sugadinti DLL ir kt. gali padaryti jūsų kompiuterį visiškai netinkamą naudoti. Tačiau pasikliaudami šiuo priežiūros įrankiu galite išvengti „Windows“ diegimo iš naujo.

• Atsisiųskite programą spustelėdami aukščiau esančią nuorodą,
• spustelėkite ReimageRepair.exe,
• jeigu iššoka User Account Control (UAC), paspauskite Yes,
• paspauskite Install ir palaukite, kol bus įdiegta programa,
• jūsų įrenginio analizė prasidės iš karto,
  
• kai analizė bus baigta, patikrinkite rezultatus – juos matysite ties Summary,
• dabar galite paspausti ant kiekvienos problemos atskirai ir sutvarkyti jas rankiniu būdu,
• jeigu matote daug problemų ir jums sunku jas ištaisyti, tuomet rekomenduojame nusipirkti licenciją ir viską sutvarkyti automatiškai.
  

Failų atkūrimo galimybės

Daugelis žmonių mano, kad gali pataisyti savo failus naudodami antivirusines programas, tačiau jos nėra tam skirtos. Viskas, ką gali padaryti saugos įrankiai, tai aptikti įtartinus procesus jūsų sistemoje ir juos pašalinti. Tiesa ta, kad failus galima atkurti tik naudojant iššifravimo raktą arba programinę įrangą, kurią turi tik kibernetiniai nusikaltėliai.

Jei anksčiau nesukūrėte atsarginės duomenų kopijos, gali būti, kad niekada jų neatgausite. Galite pabandyti naudoti duomenų atkūrimo programą, tačiau turime atkreipti dėmesį, kad trečiųjų šalių programos ne visada geba iššifruoti failus. Visgi siūlome bent jau išbandyti šį metodą ir sužinoti, ar jis jums tinka, ar ne. Prieš tęsdami, turite nukopijuoti sugadintus failus ir įdėti juos į USB atmintinę ar kitą saugyklą. Ir atminkite – darykite tai tik tuo atveju, jei jau spėjote pašalinti GUCCI ransomware.

Prieš pradėdami spręsti šią situaciją, nepamirškite kelių svarbių faktų:

• Kadangi antivirusinė ar duomenų atkūrimo programa gali visam laikui sugadinti jūsų kompiuteryje esančius užšifruotus duomenis, pirmiausia turėtumėte pasidaryti jų atsargines kopijas – panaudokite tam USB atmintinę ar kitą saugyklą.
• Bandykite atkurti failus naudodami šį metodą tik po to, kai atliksite kompiuterio nuskaitymą su antivirusine programa.

Įdiekite duomenų atkūrimo programą

1. Atsisiųskite Data Recovery Pro.
2. Dukart spustelėkite atsisiųstą failą, kad paleistumėte įdiegimą.
3. Vykdykite ekrane pateikiamas instrukcijas, kad sėkmingai įdiegtumėte programą.
4. Kai tik paspausite Finish, galėsite naudotis programa.
5. Pasirinkite Everything arba tik atskirus aplankus, iš kurių norite atkurti failus.
6. Paspauskite Next.
7. Apačioje įgalinkite Deep scan ir pasirinkite, kuriuos diskus norite nuskaityti.
   
8. Paspauskite Scan ir palaukite, kol bus baigtas skanavimas.
9. Dabar galite pasirinkti, kuriuos aplankus ar failus norite atkurti – nepamirškite, jog taip pat galite ieškoti failo pagal pavadinimą!
10. Paspauskite Recover, kad atkurtumėte failus.
    

Kaip plinta ransomware

Norint apsisaugoti nuo būsimų ransomware atakų, svarbu žinoti, kaip dažniausiai plinta ši pavojinga kenkėjiška programa. Labiausiai paplitę būdai yra „torrent“ svetainės, „peer-to-peer“ failų dalijimosi platformos ir „nulaužtos“ programinės įrangos diegimas. Kai norite atsisiųsti naują programą, geriausia naudoti tik oficialias internetines parduotuves ir kūrėjų svetaines.

Kitas būdas kaip plinta kenkėjiški failai yra el. laiškai. Kibernetiniai nusikaltėliai prie el. laiškų gali pridėti užkrėstų priedų. Paprastai jie naudoja socialinės inžinerijos metodus, kad paskatintų žmones juos atidaryti. Taigi niekada neatidarykite jokių el. laiškų priedų, nebent jie būtų iš jūsų pažįstamo asmens arba esate tikri, kad tai yra patikimo siuntėjo darbas.

Taip pat turėtumėte prisiminti, kad labai svarbu nuolat atnaujinti operacinę sistemą ir programinę įrangą. Kūrėjai dažnai išleidžia ne tik naujinimus, bet ir naujai rastų spragų saugos pataisas. Įsilaužėliai mėgsta išnaudoti pažeidžiamumą, todėl kai tik pasirodo atnaujinimai, būtinai juos įdiekite.