Soluții

Deblocare fișiere criptate cu LockCrypt

• Data 16/12/2018
• Autor berca dragos
• -6
• 682

LockCrypt a fost în jur de la mijlocul anului 2017, cu un accent special pe clienții de afaceri. Răspândind prin acreditările de la Remote Desktop Protocol, această familie de ransomware are câteva sub-variante cu următoarele extensii specifice:

Cum se deblochează un fișier .crypt

• Data 16/12/2018
• Autor berca dragos
• -2
• 649

Experiența comună a utilizatorilor atunci când vine vorba de răscumpărare arată astfel: deschideți un site web apoi descărcați accidental și instalați un software.

S-ar putea să nu observați că ați făcut asta. De ceva timp nu se întâmplă nimic și dintr-o dată vă vedeți o notificare că toate fișierele dvs. sunt criptate de un troian care dorește bani să le returneze. Verificați dacă este adevărat și vedeți: toate fișierele dvs. refuză să se deschidă.

De asemenea, vedeți că acestea sunt actualizate cu extensia .crypt .

Decriptare fișiere criptate cu GandCrab

• Data 16/12/2018
• Autor berca dragos
• -2
• 1597

Când acest troian este executat, acesta se copiază în următorul fișier:

• %AppData%Microsoft[RANDOM NAME]

Troianul creează următoarea intrare din registry, astfel încât să ruleze de fiecare dată când Windows pornește:

• HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion RunOnce “[RANDOM STRING]” = “[CALEA PENTRU FIȘIERUL ENCRYPTED]”

În continuare, troianul încheie următoarele procese:

• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• mydesktopqos.exe
• agntsvc.exeisqlplussvc.exe
• xfssvccon.exe
• mydesktopservice.exe
• ocautoupds.exe
• agntsvc.exeagntsvc.exe
• agntsvc.exeencsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe

Troianul se conectează apoi la următoarele locații:

• bleepingcomputer.bit
• nomoreransom.bit
• esetnod32.bit
• emsisoft.bit
• gandcrab.bit

În continuare, troianul criptează toate fișierele de pe computerul compromis, cu excepția cazului în care numele conține următoarele:

• ProgramData
• Program Files
• Tor Browser
• Ransomware
• All Users
• Local Settings
• desktop.ini
• autorun.inf
• ntuser.dat
• iconcache.db
• bootsect.bak
• ntuser.dat.log
• thumbs.db
• .sql

Troianul va lăsa următorul fișier în fiecare director care criptează fișierele:

• [PATH TO ENCRYPTED FILES]GDCB-DECRYPT.txt

În continuare, troianul afișează o notă de răscumpărare prin care informează utilizatorul că fișierele sale au fost criptate și furnizând instrucțiuni cu privire la modul în care aceștia ar putea plăti pentru a decripta fișierele.

ERR_SOCKET_NOT_CONNECTED în Chrome pe Windows 10

• Data 16/12/2018
• Autor stefan cirstea
• -1
• 853

Error 105 (net::ERR_NAME_NOT_RESOLVED): Unable to resolve the server’s DNS address.