BAAA Virüsü Nedir??
BAAA bir tür STOP/Djvu fidye yazılımı, bilgisayarlardaki dosyaları şifreler, onları erişilemez hale getirmek. Çeşitli dosya türlerini hedefler, bir ekleme “.Evet” onlara uzatma, bu, şifre çözme anahtarı olmadan dosyaları kullanılamaz hale getirir.
Bir sisteme bulaştıktan sonra, Baaa dosyaların şifresini çözdüğü için Bitcoin'den fidye talep ediyor. Kurbanlar buluyor “_readme.txt” Ödemenin nasıl yapılacağı konusunda onlara talimat veren masaüstü bilgisayarlar ve klasörler içindeki kılavuz, ödeme iyileşmeyi garanti etmese de.
Virüs şunu kullanıyor: Salsa20 şifreleme algoritması, saldırganın işbirliği olmadan şifre çözme çabalarını zorlaştırır. Fakat, Baaa şifrelemeye başlamadan önce sunucusuna bağlanamıyorsa, standart bir çevrimdışı anahtar kullanır, şifre çözme için potansiyel bir yol sunuyor.
Altında, bir resim şifrelenmiş dosyaların görünümünü gösterir, tarafından işaretlenmiştir “.Evet” eklenti:
İsim | Baa Virüs |
Aile 1 | DUR/Djvu Fidye Yazılımı |
Eklenti | .Evet |
Fidye yazılımı notu | _readme.txt |
Fidye | İtibaren $499 ile $999 (Bitcoin'de) |
Temas etmek | support@freshingmail.top, datarestorehelpyou@airmail.cc |
Belirtiler |
|
İyileşmek | Kapsamlı bir çözümle kurtarmaya başlayın antivirüs taraması. Her ne kadar tüm dosyalar kurtarılamasa da, Rehberimiz, şifrelenmiş dosyalara yeniden erişim sağlamak için çeşitli potansiyel yöntemleri özetlemektedir. |
Baaa Virüsüne Genel Bakış
Baaa fidye yazılımı, kurbanın bilgisayarına vardığında bir dizi prosedür yürütür. Winupdate.exe'yi ilk süreçlerden biri olarak başlatır., Saldırı sırasında kurbanı bilgisayarının Windows güncellemesi nedeniyle yavaşladığına ikna etmek için sahte bir Windows güncelleme istemi görüntüleyen.
Bu sırada, fidye yazılımı başka bir işlemi çalıştırıyor (ile adlandırılmış 4 rastgele karakterler), hedef dosyalar için bilgisayarı taramaya ve bunları şifrelemeye başlar. Daha sonra aşağıdaki CMD komutunu kullanarak Birim Gölge Kopyalarını sistemden kaldırır.:
vssadmin.exe Gölgeleri Sil /Tümü /Sessiz
Bir kez kaldırıldığında, Sistem Geri Yükleme Noktalarını kullanarak bilgisayarın önceki durumuna geri dönmek imkansız hale gelir. Fidye yazılımı operatörleri, kurbanın dosyaları ücretsiz olarak geri yüklemesine yardımcı olabilecek tüm yerleşik Windows yaklaşımlarını ortadan kaldırır. bunlara ek olarak, Windows HOSTS dosyasını, bir etki alanı listesi ekleyerek değiştirirler, onları localhost IP'sine yönlendirmek, kurban engellenen web sitelerinden birini açmaya çalıştığında DNS_PROBE_FINISHED_NXDOMAIN hatasıyla sonuçlanır.
Fidye yazılımının web sitelerinin bilgisayar kullanıcıları için çeşitli nasıl yapılır kılavuzları yayınlamasını kısıtlamaya çalıştığını gözlemledik. Açıkça, belirli alanları sınırlayarak, Saldırganlar, kurbanların fidye yazılımı saldırılarıyla ilgili ilgili ve yararlı çevrimiçi bilgilere erişmesini engellemeye çalışıyor. Virüs ayrıca kurbanın bilgisayarında, saldırıyla ilgili bilgiler sağlayan iki .txt dosyası saklar: bu kurbanın genel anahtarı ve kişisel kimlik, adlandırılmış bowsakkdestx.txt Ve KişiselID.txt.
Tüm bu değişikliklerden sonra, kötü amaçlı yazılım durmuyor. STOP/DJVU'nun çeşitleri genellikle Vidar şifre çalan Truva Atı'nı güvenliği ihlal edilmiş sistemlere dağıtır, geniş bir yetenek listesine sahip bir tehdit, içermek:
- Yetkisiz erişim elde etmek için kurbanın bilgisayarına kötü amaçlı yazılım sızdırmak ve çalıştırmak.
- Steam'in oturum açma kimlik bilgilerine yetkisiz erişim sağlanması, Telgraf, ve Skype.
- Mağdurun bilgisayarındaki dosyaları rızası olmadan değiştirmek ve görüntülemek.
- Kurbanın sisteminden kripto para cüzdanlarını çalmak.
- Bilgisayar korsanlarına, çeşitli kötü amaçlarla kurbanın bilgisayarı üzerinde uzaktan kontrol verilmesi.
- Tarayıcı çerezleri gibi hassas bilgilerin çıkarılması, kayıtlı şifreler, ve tarama geçmişi.
STOP/Djvu fidye yazılımındaki şifreleme algoritması Salse20'dir. Bu yüzden, verilerinizi çevrimiçi bir şifre çözme anahtarıyla şifreledikten sonra, dosyalarınızı geri alma şansınız oldukça azalır. Bu anahtar her kurban için benzersizdir, ve uygun olanı bulmak pratik olmayan bir zaman alacaktır.
Çevrimiçi anahtarı başka bir şekilde almak da neredeyse imkansızdır. Bilgisayar korsanları Baaa enfeksiyonunu depolandığı sunucuya yaydı. Şifre çözme kodunu almak için, ödeme şu şekilde olmalıdır $999. Ödeme detayları için, Kurbanların bilgisayar korsanlarıyla e-posta yoluyla iletişim kurması gerekiyor (destek@fishmail.top).
Nasıl kaldırılır?
Gridinsoft Anti-Malware ile Baaa Virüsünü Kaldır
O zamandan beri bu yazılımı sistemlerimizde de kullanıyoruz., ve virüsleri tespit etmede her zaman başarılı olmuştur. En yaygın Ransomware'i şu şekilde engelledi: testlerimizde gösterildi yazılım ile, ve bilgisayarınızda saklanan diğer kötü amaçlı yazılımların yanı sıra Baaa Virüsünü de kaldırabileceğini garanti ediyoruz.
Kötü niyetli tehditleri kaldırmak için Gridinsoft'u kullanmak için, Aşağıdaki adımları takip et:
1. Gridinsoft Anti-Malware'i indirerek başlayın, Aşağıdaki mavi düğmeyle veya doğrudan resmi web sitesinden erişilebilir gridinsoft.com.
2.Gridinsoft kurulum dosyası bir kez (setup-gridinsoft-fix.exe) indirildi, dosyaya tıklayarak çalıştırın. Follow the installation setup wizard's instructions diligently.
3. Erişmek "Tarama Sekmesi" on the application's start screen and launch a comprehensive "Tam tarama" tüm bilgisayarınızı incelemek için. Bu kapsamlı tarama hafızayı kapsar, başlangıç öğeleri, kayıt defteri, Hizmetler, sürücüler, ve tüm dosyalar, olası tüm konumlarda gizlenmiş kötü amaçlı yazılımları tespit etmesini sağlamak.
Sabırlı ol, as the scan duration depends on the number of files and your computer's hardware capabilities. Bu zamanı rahatlamak veya diğer görevlere katılmak için kullanın.
4. Bitmesi uzerine, Anti-Malware, PC'nizde tespit edilen tüm kötü amaçlı öğeleri ve tehditleri içeren ayrıntılı bir rapor sunacaktır..
5. Rapordan tanımlanan tüm öğeleri seçin ve güvenle "Şimdi Temizle" düğme. Bu eylem, kötü amaçlı dosyaları bilgisayarınızdan güvenli bir şekilde kaldıracaktır., daha fazla zararlı eylemi önlemek için bunları kötü amaçlı yazılımdan koruma programının güvenli karantina bölgesine aktarmak.
6. İstenirse, Tam sistem tarama prosedürünü tamamlamak için bilgisayarınızı yeniden başlatın. Bu adım, kalan tehditlerin tamamen ortadan kaldırılmasını sağlamak için çok önemlidir.. Yeniden başlatmanın ardından, Gridinsoft Anti-Malware açılacak ve işlemi onaylayan bir mesaj görüntüleyecektir. taramanın tamamlanması.
Gridinsoft'un 6 günlük ücretsiz deneme sunduğunu unutmayın. Bu, yazılımın tüm avantajlarından yararlanmak ve gelecekte sisteminize kötü amaçlı yazılım bulaşmasını önlemek için deneme süresinden ücretsiz olarak yararlanabileceğiniz anlamına gelir.. Embrace this opportunity to fortify your computer's security without any financial commitment.
Video Kılavuzu
.baaa Dosyalarının Şifresi Nasıl Çözülür?
Birinci, silmeyi dene “.Evet” birkaç büyük dosyanın uzantısını ve ardından bunları açmayı. Bu kötü amaçlı yazılım büyük dosyaların şifrelenmesiyle mücadele ediyor. Virüs ya erişim sırasında dosyayı kilitleyemedi ya da bir hatayla karşılaştı ve dosya işaretleyicisini eklemeyi atladı. Dosyalarınızın boyutu 2 GB'ı geçiyorsa, ikinci senaryo daha muhtemel.
Suçlular en yeni uzantıları Ağustos ayı sonlarında yayımladı 2019 birkaç değişiklik yaptıktan sonra.
Suçluların yaptığı değişiklikler STOPDecrypter'ı desteksiz hale getirdi, Emsisoft tarafından geliştirilen STOP Djvu Ransomware için Emsisoft Decryptor ile değiştirilmesine yol açtı.
- Şifre Çözme Aracını İndirin ve Çalıştırın: İndirmek şifre çözme aracı. Şifre çözme yardımcı programını yönetici olarak çalıştırdığınızdan ve simgesine tıklayarak görünen lisans koşullarını kabul ettiğinizden emin olun. “Evet” düğme. Lisans koşullarını kabul ettikten sonra.
- Şifre Çözme için Klasörleri Seçin: Şifre çözücü, varsayılan olarak, şifre çözme için bağlı ve ağ sürücüleri üzerindeki dizinleri otomatik olarak seçer. Kullan “Eklemek” ek konumlar seçmek için düğme. Kötü amaçlı yazılım ailesine bağlı olarak, şifre çözücüler çeşitli seçenekler sunar, Seçenekler sekmesinde açıp kapatabileceğiniz. Altında, şu anda aktif olan seçeneklerin ayrıntılı bir listesini bulacaksınız.
- Tıklayarak Şifre Çözmeyi Başlatın “Şifreyi çöz” Düğme. İstenilen tüm lokasyonları listeye ekledikten sonra, tıkla “Şifreyi çöz” şifre çözme işlemini başlatmak için düğme. Şifre çözücü, şifre çözme işlemini tamamladıktan sonra sizi bilgilendirecektir. Dokümantasyon için gerekirse, tıklayarak raporu kaydedebilirsiniz. “Kayıt dosyası” düğme. Raporu, e-postalara veya mesajlara yapıştırmak üzere panonuza kopyalamak da mümkündür..
.baaa Dosyaları Nasıl Geri Yüklenir?
Bazı durumlarda, fidye yazılımı dosyalarınızı şifreleyemiyor…
Baaa fidye yazılımı şifreleme işlemi, her dosyanın bayt bayt şifrelenmesini içerir, kopya oluşturma, ve sonra silme (üzerine yazmamak) orijinal dosya. Bu silme işlemi, fiziksel diskin dosyayı artık kendi sisteminde listelemeyeceği anlamına gelir, orijinal dosya sürücüde kalmasına rağmen. Dosyanın bulunduğu sektör hâlâ onu içeriyor olabilir, ancak sistem bunu listelemediğinden, yeni veriler bunun üzerine yazılabilir. Fakat, özel yazılım dosyalarınızı kurtarabilir.
Bunun çevrimiçi bir algoritma olduğunun farkına varmak, Şifrelenmiş dosyalarımı kurtarmanın imkansız olduğunu biliyordum. Yedek sürücüm, enfeksiyon sırasında bağlı, da enfekte görünüyordu. Yedekleme sürücümdeki her klasör şifrelenmiş görünüyordu. Buna rağmen, Neredeyse iyileşmeyi başardım 80% 2TB depolama alanımdan.
Klasörleri incelemek, Her birinde fidye notları buldum. Bazılarının açılması, yalnızca alt klasörlerde olmayan dosyaların şifrelendiğini ortaya çıkardı. Diğer klasörlerdeki alt klasörlere girme, Şifrelenmemiş dosyalar keşfettim. Her klasörün bulunduğu C ve D sürücülerimin aksine, alt klasörler dahil, şifrelendi, yedekleme sürücümün alt klasörleri kaydedildi 80% verilerimin.
Yedekleme sürücümdeki bu boşluğu bulmanın şanslı olduğunu düşünüyorum. bunlara ek olarak, bir tane daha kurtardım 10% farklı bir bilgisayardaki sabit diskteki verilerimin. Böylece, Yedekleme sürücüsü kullanmayla ilgili tavsiyem alt klasörler oluşturmaktır. Kısmen şanstı, ama aynı zamanda yedeklememden dosya aktarımı sırasında virüsün bulaşması da talihsizlik.
Umarım bu deneyim benzer zor durumdaki başkalarına yardımcı olabilir.
Jamie NewlandPhotoRec ile Baaa Dosyalarını Kurtarma
Fotoğraf Kaydı, Hasarlı disklerden dosya kurtarma veya kazara silme için tasarlanmıştır, artık geri yüklemeyi destekliyor 400 dosya türleri, Baaa saldırısından sonra faydalı olmasını sağlamak.
Birinci, PhotoRec'i indir. Bedava, ancak geliştirici dosya restorasyonu için hiçbir garanti vermiyor. PhotoRec, TestDisk ile birlikte gelir, aynı geliştiriciden başka bir araç, TestDisk adı altında. Fakat, PhotoRec arşive dahil edilmiştir.
PhotoRec'i başlatmak için, aç “qphotorec_win.exe” dosya. Program gerekli tüm dosyaları içerdiğinden kurulum gerekmez, bir USB sürücüden çalıştırılmasına izin vermek.
Yorum Yap