PayDay Ransomware - Hur Tar Man Bort?

 

PayDay ransomware källkod baseras på det öppna ransomware-projektet Hidden Tear som finns tillgängligt på Github.com. Medans titeln av PayDay associeras med det korta namnet av videospelet Payday: The Heist, utvecklat av Overkill Software. Spelets handling kretsar kring fyra rånare som tillsammans utför olika beväpnade rån. Temat är anpassat till detta ransomware, medans konceptet passar perfekt.

Hur PayDay ransomware fungerar

Krypteringsprogrammet PayDay är programmerad att kryptera följande filtyper med AES- 256 algoritmen:

.raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .sav, .spv, .grle, .mlx, .sv5, .game, .slot, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .csv, .efx, .sdf, .vcf, .xml, .ses.

Användare av den infekterade maskinen indikeras med att den krypterade filen får .sexy tillägget som filändelse. Med andra ord skulle filen File.raw bli File.raw.sexy efter en kryptering. Krypteringsprogrammet PayDay kommer sedan visa följande meddelande på portugisiska:

Seus arquivos foram Sequestrados!

TODOS os seus documentos, banco de dados, downloads, fotos e outros arquivos importantes foram criptografados utilizando o algoritmo AES (mesma criptografia utilizada pelo governo do EUA) com uma senha alfa-numérica de 150 caracteres gerada a partir deste computador e enviada para um servidor secreto na Internet onde somente eu tenho acesso.

O que fazer?

Para obter essa senha e descriptografar seus arquivos, você terá que pagar uma quantia de R$950,00 em BTC (BITCOIN). Para efetuar o pagamento e obter a senha, siga este pequeno manual:

  1. Crie uma carteira BTC aqui: ***blockchain.info/***
  2. Compre R$950,00 BTC com dinheiro em: ***
  3. Envie os BTCs comprados para o endereço: *****
  4. Acompanhe a transferência em: ***blockchain.info/address/***
  5. Após o pagamento ser confirmado, envie-me um email requisitando a Senha: CATSEXY@PROTONMAIL.COM
  6. Logo após, enviarei um arquivo compactado contento dois arquivos: um Decrypter em .exe e a Senha em um .txt

O que é Bitcoin:

Importante:

  1. Ninguém pode te ajudar, a não ser eu!
  2. Vocé tem apenas 120 Horas (5 dias) para efetuar o pagamento, caso o contrario eu deletarei a senha.
  3. É inútil instalar/atualizar o software Anti Vírus, formatar o computador, fazer BO na delegacia, etc.
  4. Seus arquivos só poderão ser descriptografados depois do pagamento.
  5. Após vocé descriptografar seus arquivos, formate seu computador, instale um bom Anti Vírus e tome mais cuidado onde clica 😉

En grov översättning till engelska skulle bli:

Your files have been hijacked!

ALL of your documents, database, downloads, photos, and other important files were encrypted using the AES algorithm (same encryption used by the US government) with a 150 character alpha-numeric password generated from this computer and sent to a server Secret on the Internet where only I have access.

What to do?

To get this password and decrypt your files, you will have to pay an amount of $ 950.00 in BTC (BITCOIN). To make the payment and obtain the password, follow this small manual:

  1. Create a BTC portfolio here: *** blockchain.info/***
  2. Buy R $ 950,00 BTC with money in: ***
  3. Send the purchased BTCs to the address: *****
  4. Follow the transfer on: *** blockchain.info/address/***
  5. After payment is confirmed, send me an email requesting the Password: CATSEXY@PROTONMAIL.COM
  6. Soon after, I will send a compressed file containing two files: a decrypter in .exe and the Password in a .txt

What is Bitcoin:

Important:

  1. No one can help you but me!
  2. You only have 120 Hours (5 days) to make the payment, otherwise I will delete the password.
  3. It is useless to install / update the AntiVirus software, format the computer, do BO in the police station, etc.
  4. Your files can only be decrypted after payment.
  5. After you decrypt your files, format your computer, install a good AntiVirus and be more careful where you click;)

På grund av detta kan man enkelt anta att krypteringsprogrammet PayDay i huvudsak riktar in sig på portugisiska användare. Meddelandet med lösensumman (placerad på skrivbordet sm en HTML-fil) innehåller bilder på PayDay: The Heist spelet och omdirigerar till följande sida:

Hotbrevet får namnet !!!!!ATENÇÃO!!!!!, vilket översätter till !!!!!LYSTRING!!!!!. Kaparna av filkrypteraren PayDay vill ha R$950 (Brasilianska real) betalat i Bitcoin till 1HGYr8g4Jv9EH6qgvEPFFFN9LYMkivFP7L BTC-adressen. Summan av R$950 motsvarar 284,82 USD. Detta tillsammans med språket i hotbrevet ger en aning om vart kodarna av PayDay krypteraren kommer ifrån. Fem dagar ges för att slutföra betalningen till de kriminella. Kontaktadressen för att bekräfta betalningen går till catsexy@protonmail.com.

Gällande distributeringen av PayDay ransomware

PayDay är en ransomware trojan. Som det antyds i slutet av hotbrevet så måste användare vara mer försiktiga med vad och vart dom klickar. Krypteringsprogrammet PayDay kan enkelt infektera användare som klickar på skräppost och öppnar dess bifogade innehåll. Speciellt om dessa e-postmeddelanden är immiterade som viktiga dokument. Av den anledningen rekommenderas användare att hålla sig borta från skräpposten av deras e-post. Filkrypteraren PayDay är en av de ransomware virus som distributeras genom en kampanj av massutskick av skräppost.

Ta bort PayDay ransomware

Det rekommenderas att ta bort PayDay ransomware via en full genomsökning av datorn med Reimage, Spyhunter eller Malwarebytes. Även fast detta ransomware inte associeras med några andra skadeprogram så kan det vara så att PayDay ransomware släpper in andra skadeprogram som infekterat datorn. Därav är ett automatiskt verktyg rekommenderat. Kom bara ihåg att du gör kopior på de krypterade filerna innan, så en framtida dekrypterare av IT-experter kan användas.

Gällande dekrypteringen av äventyrade data så finns det tre huvudsakliga alternativ som kan användas. I första hand en backup – alla tillhåll förutom Local (system), även externa enheter, cloud m.m. Det andra alternativet vore att kontrollera Shadow Volume kopior, och det sista är att försökta använda sig av återställningsprogram som t.ex. Recuva.



Automatisk PayDay Ransomware verktyg för borttagning

 
 
Notera: Reimage försök ger detektion av parasiten som PayDay Ransomware och hjälper till dess avlägsnande gratis. Du kan ta bort upptäckta filer, processer och poster registret själv eller köpa en full version.  We might be affiliated with some of these programs. Full information is available in disclosure

Hur du tar bort PayDay Ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan PayDay Ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av PayDay Ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till PayDay Ransomware.


3. Återställ PayDay Ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker PayDay Ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

PayDay Ransomware skärmdumpar

 
     
 

Om författaren

 
januari 6, 2017 08:30, januari 6, 2017 08:30
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *