Elimină virusul PadCrypt (Instrucţiuni de înlăturare) - apr. 2017 actualizat
Ghid de înlăturare a viruşilor PadCrypt
Ce este Ransomware-ul PadCrypt?
Ransomware-ul PadCrypt continuă să se schimbe în fiecare lună
Virusul PadCrypt a fost observat pentru prima dată acum mai bine de un an . Indiferent de faptul că nu a fost un cripto-malware foarte activ, acesta s-a schimbat treptat de atunci. Dacă primiţi un email nou în căsuţa dumneavoastră, nu vă grăbiţi să îl deschideţi sau să descărcaţi ataşamentul, indiferent de cât de importantă pare a fi informaţia. Acesta şi alte programe de tip ransomware, similare, răspândesc prin email-uri spam, fişiere infecţioase ce sunt ataşate acestora. Malware-ul PadCrypt se răspândeşte sub forma unui fişier care pare a fi un PDF, dar de fapt, este o arhivă zip ce conţine un fişier executabil periculos. Odată extras, acest fişier lasă malware-ul în sistem, care începe să cripteze fişierele utilizatorilor, inclusiv poze, filme, documente word, şi altele, fără a pierde timp. Ransomware-ul PadCrypt utilizează algoritmul de criptare AES-256 pentru a bloca fişierele, deci cu greu le puteţi decripta fără o cheie specială de decriptare, care de obicei este deţinută de către hackeri.
După ce criptarea este terminată, PadCrypt creează un fişier .txt care informează utilizatorul despre criptarea fişierelor, şi îi aduce la cunoştinţă faptul că există o cheie de decriptare care poate fi cumpărată, pentru a recupera fişierele. În mod contrar, fişierele vor fi pierdute pentru totdeauna. Recompensa cerută de obicei de către acest ransomware este de 0.8 Bitcoins, echivalentul a 340 de dolari şi trebuie plătită prin Bitcoins, Ukash Voucher sau Paysafecard. De obicei, suma cerută creşte în timp. Victimei ransomware-ului PadCrypt i se oferă un termen limită de 96 de ore pentru a plăti recompensa. Dacă victima nu transferă banii în acest timp, cheia de decriptare poate fi distrusă. Sau cel puţin, asta declară autorii. Totuşi, indiferent de cât de convingătoare pot fi aceste menţiuni, ar trebui să ştiţi că mai puţin de jumătate din victimele ransomware-urilor au reuşit să îşi recupereze complet datele .
Ransomware-ul PadCrypt a fost actualizat în ultima perioadă. Arată note de recompensă diferite ce raportează despre fişierele criptate, şi cere victimei să plătească o taxă în bitcoins.
Un lucru interesant despre acest ransomware este că datele criptate pot fi obţinute gratuit dacă utilizatorul aşteaptă şase luni, după care contactează PadCrypt. Mai mult, acest virus este primul ransomware care oferă suport prin live chat, care ar trebui să vă lase să contactaţi criminalii cibernetici. A fost raportat că nu răspund, deci nu este prea util.
Dezvoltatorii acestui virus au lăsat utilizatorii calculatoarelor infectate să elimine PadCrypt din ele oferind un dezinstalator special. Totuşi, chiar şi după ce eliminaţi malware-ul din calculator, fişierele nu vor fi decriptate după finalizarea acestui proces. De asemenea, pentru a scade şansele ca victima să recupereze gratuit fişierele, acest cripto-malware şterge şi copiile din volumul din umbră . Singurul mod de a vă proteja datele de astfel de viruşi periculoşi este prin crearea copiilor de rezervă a fişierelor, stocate pe un drive extern. PadCrypt funcţionează similar ca viruşi de tip ransomware precum CryptoWall, TeslaCrypt sau DMA-Locker (apăsaţi pe link-uri pentru a citi mai multe despre aceşti viruşi). De fapt, toate infecţiile ransomware sunt aproape identice – promit decriptarea fişierelor dacă plătiţi suma de bani cerută. Acestea diferă doar prin algoritmii de criptare şi suma recompensei. Nu vă sfătuim să plătiţi recompensa deoarece este foarte posibil să rămâneţi şi fără fişiere şi fără bani. Ar trebui să reţineţi că eliminarea lui PadCrypt nu vă poate returna fişierele, ci doar va şterge malware-ul şi componentele acestuia din calculator. Vă sfătuim să folosiţi un software de eliminare malware puternic, precum FortectIntego, pentru a elimina PadCrypt din sistemul dumneavoastră.
Distribuirea de malware
PadCrypt, CryptoWall, şi alte programe de tip malware sunt în general, distribuite prin intermediul reţelelor peer-to-peer (P2P), precum Torrente, ataşamentele emailurilor spam maliţioase sau prin actualizări false de software, şi pot intra în sistem şi ca troiani. Pentru motivele menţionate în acest articol, ar trebui să fiţi atent atunci când descărcaţi fişiere de pe surse de internet nesigure, sau atunci când deschideţi ataşamentele email-urilor primite de la expeditori dubioşi.
După cum am menţionat deja, este esenţial să eliminaţi acest malware din PC, imediat. Dacă nu doriţi să utilizaţi o unealtă automată de eliminare, vă rugăm să studiaţi ghidul de eliminare manuală oferit sub următoarele paragrafe.
Versiuni ale virusului PadCrypt
La început, s-a considerat că acest proiect ransomware a fost suspendat, deoarece serverele lui de comandă şi control au fost repede dezactivate. În primăvara lui 2016, experţii de malware au observat mai multe versiuni ale acestui virus, care indicau că autorul acestui proiect ransomware încearcă să îl reînnoiască şi să îl distribuie din nou. Momentan, există mai multe versiuni ale misterioasei versiuni 2.0, cunoscute ca şi PadCrypt 2.2.71.1, PadCrypt 2.2.86.1, şi PadCrypt 2.2.97.0. Totuşi, se pare că aceste versiuni nu au modificări semnificative, şi au fost trimise doar unui număr mic de utilizatori, considerând numărul de plângeri primite. Totuşi, în toamna lui 2016, a apărut a treia versiune, care pare a fi un virus mai îmbunătăţit.
Virusul de tip ransomware PadCrypt 3.0. Analiştii de malware au observat pentru prima dată caracteristicele acestei versiuni la sfârşitul lui septembrie, 2016, iar exemple clare au fost detectate în noiembrie. A treia versiune pretinde că utilizează o cheie de criptare AES 256-bit şi cere victimelor o recompensă în schimbul uneltei de decriptare a datelor. A fost raportat că virusul PadCrypt 3.0 se răspândeşte ca şi troian sub forma unui generator fals de card de credit Visa (Card Base 5.6.0.exe), şi de asemenea, fură şi informaţii din contul serverului de pe Filezilla, şi sunt vândute pe piaţa neagră pentru alţi criminali care doresc să contribuie la distribuirea acestuia. Se pare că escrocii au creat un sistem de parteneriat, şi împart profiturile cu cei care doresc să ajute la distribuirea acestui virus. În final, a fost descoperit că această versiune este PadCrypt 3.1 în codul sursă, cu toate că nota de recompensă încă menţionează că este versiunea 3.0. Victimele ar trebui să elimine rapid acest virus, în cazul în care le infectează sistemele.
Virusul de tip ransomware PadCrypt 3.1.2 a apărut pe web la începutul lui decembrie, 2016 şi a lovit utilizatorii cu mai multe întrebări decât răspunsuri. Se pare că programul nu a obţinut funcţii noi, sau cel puţin nu sunt aparente. Putem presupune doar că hackerii din spatele acestui virus au pus câteva piese problematice în codul programului şi sperăm că aceste îmbunătăţiri nu au făcut parazitul şi mai maliţios. Poate o descoperire interesantă despre această versiune de ransomware este faptul că este distribuită de către binecunoscutul troian Artemis. Încă nu se cunoaşte dacă virusul decriptează fişierele blocate după şase luni, precum versiunea originală, însă nu vă recomandăm să aşteptaţi atât de mult. Este posibil ca pe parcursul acelor luni să nu puteţi utiliza calculatorul în mod corespunzător, şi că noile fişiere create în dispozitivul infectat nu vor fi şi ele criptate. Deci, vă recomandăm cu tărie să eliminaţi această versiune a lui PadCrypt din calculatorul dumneavoastră.
Virusul de tip ransomware PadCrypt 3.2.2 este un cripto-virus maliţios, despre care s-a descoperit că este un ransomware ca şi serviciu (RaaS). Părţile interesate (hackeri, răufăcători, etc.) pot încerca să modifice acest malware conform nevoilor lor, şi să îl utilizeze pentru criptarea fişierelor oamenilor şi pentru a colecta recompense. Desigur, autorul lui PadCrypt 3.2.2 primeşte o parte din taxele adunate în schimbul permisiunii de a folosi virusul. Conform ultimelor bârfe, această versiune a lui PadCrypt este o altă modificare a ransomware-ului Razy care utilizează algoritmii de criptare AES-256 şi RSA pentru a cripta fişierele victimelor. Suma recompensei variază între 0.5 şi 1.5 Bitcoins, echivalentul a 1065 de dolari. Vă rugăm, NU luaţi în considerare să plătiţi o astfel de recompensă dezvoltatorilor acestui ransomware! Nu există vreo garanţie că vă veţi recupera fişierele după ce ei primesc banii. Trebuie să eliminaţi virusul PadCrypt 3.2.2 imediat după ce aţi descoperit infecţia, deoarece acest virus poate să modifice şi lista de procese şi poate încerca să se conecteze la hackeri prin intermediul serverelor de Comandă şi Control de la distanţă.
Virusul de tip ransomware PadCrypt 3.4.4 este ultima versiune a lui PadCrypt, care s-a arătat la mijlocul lui martie. Indiferent de faptul că nu a fost foarte activă, vă poate infecta calculatoarele utilizând aceleaşi metode ca şi versiunile anterioare. Imediat după ce se infiltrează în sistem, lucrează la colectarea unor anumite informaţii, după care le transferă proprietarilor săi. S-a dezvăluit că poate încerca să obţină adresa de IP, geolocaţia, versiunea de BIOS, etc. Foloseşte serverele de Comandă şi Control pentru a transfera aceste date hackerilor. Al doilea stagiu al funcţionalităţii ransomware-ului PadCrypt 3.4.4 implică criptarea fişierelor victimei. Atenţie cu acest malware şi NU plătiţi recompensa.
Dezinstalarea pe bune a virusului PadCrypt
Din nefericire, este imposibil să eliminaţi virusul PadCrypt şi să recuperaţi fişierele criptate, în acelaşi timp. Pentru acest lucru, aveţi nevoie de o cheie specială, care de obicei se află la hackeri, pentru atât timp cât hotărâţi să vă deschideţi e-walletul şi să plătiţi recompensa. Puteţi, totuşi, să ştergeţi acest virus şi componentele lui pentru a preveni criptarea altor fişiere. Această procedură este recomandată şi pentru atunci când doriţi să descoperiţi alte ameninţări care pot fi în calculatorul dumneavoastră, fără să ştiţi. Nu vă recomandăm să încercaţi să eliminaţi manual PadCrypt deoarece există foarte multe componente ale ransomware-ului, ce cu greu pot fi descoperite fără ajutorul unui program anti-spyware/anti-malware reputabil. Cele mai bune variante de acest tip de software sunt date mai jos, deci asiguraţi-vă că instalaţi una dintre ele pentru a vă fixa calculatorul în mod adecvat. Pentru a vă proteja de astfel de viruşi pe viitor, asiguraţi-vă că păstraţi programele de securitate actualizate, creaţi copii de rezervă ale fişierelor în mod regulat, şi că staţi departe de spam.
Manual de înlăturare a virusului PadCrypt
Înlăturaţi PadCrypt utilizând Safe Mode with Networking
Dacă PadCrypt vă blochează programul de scanare, ar trebui să încercaţi să porniţi calculatorul în Safe Mode with Networking:
-
Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Networking
Windows 7 / Vista / XP- Apăsaţi Start → Shutdown → Restart → OK.
- Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
-
Select Safe Mode with Networking from the list
Windows 10 / Windows 8- Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
- Acum selectaţi Troubleshoot → Advanced options → Startup Settings şi în final apăsaţi pe Restart.
-
Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Networking din fereastra Startup Settings.
-
Pasul 2: Înlătură PadCrypt
Autentificaţi-vă în contul infectat şi porniţi browserul. Descărcaţi FortectIntego sau un alt program anti-spyware sigur. Actualizaţi-l după care efectuaţi o scanare completă a sistemului şi înlăturaţi fişierele maliţioase care aparţin ransomware-ului şi finalizaţi înlăturarea lui PadCrypt.
În cazul în care ransomware-ul blockează Safe Mode with Networking, încercaţi următoarea metodă.
Înlăturaţi PadCrypt utilizând System Restore
Dacă Safe Mode with Networking nu a reuşit să vă deblocheze calculatorul, ar trebui să încercaţi System Restore:
-
Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Command Prompt
Windows 7 / Vista / XP- Apăsaţi Start → Shutdown → Restart → OK.
- Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
-
Select Command Prompt from the list
Windows 10 / Windows 8- Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
- Acum selectaţi Troubleshoot → Advanced options → Startup Settings şi în final apăsaţi pe Restart.
-
Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Command Prompt din fereastra Startup Settings.
-
Pasul 2: Resetaţi fişierele şi setările sistemului
-
Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter.
-
Acum tastaţi rstrui.exe şi apăsaţi din nou pe Enter..
-
Când apare o fereastră nouă, apăsaţi pe Next şi selectaţi punctul de restaurare care este înaintea infiltrării lui PadCrypt. După ce veţi face acest lucru, apăsaţi Next.
-
Acum apăsaţi pe Yes pentru a începe restaurarea sistemului.
-
Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter.
Bonus: Recuperaţi-vă datele
Ghidul prezentat mai sus v-ar putea ajuta să eliminaţi PadCrypt din calculatorul dumneavoastră. Pentru a vă recupera fişierele criptate, vă recomandăm să utilizaţi un ghid mai detaliat pregătit de către experţii noştri din securitate, faravirus.ro.Dacă fişierele dumneavoastră au fost criptate de către PadCrypt, puteţi utiliza diverse metode pentru a le recupera:
Recuperaţi cu Data Recovery Pro
Victimele pot încerca să îşi decripteze fişierele utilizând programul Data Recovery Pro. Vă poate ajuta să recuperaţi măcar câteva din fişiere.
- Descărcare Data Recovery Pro;
- Urmaţi paşii din setările Data Recovery şi instalaţi programul în calculatorul dumneavoastră;
- Lansaţi-l şi scanaţi-vă calculatorul pentru fişierele criptate de către ransomware-ul PadCrypt;
- Recuperaţi-le.
Utilizaţi ShadowExplorer pentru a recupera fişierele criptate de ransomware-ul PadCrypt
Dacă sunteţi suficient de norocos să descoperiţi că ransomware-ul PadCrypt nu a eliminat copiile din volumul din umbră ale fişierelor dumneavoastră, puteţi folosi Shadow Explorer. Aici, sunt paşii pe care trebuie să îi parcurgeţi pentru a folosi această unealtă:
- Descarcă Shadow Explorer (http://shadowexplorer.com/);
- Urmaţi setarea de instalare Shadow Explorer şi instalaţi această aplicaţie în calculatorul dumneavoastră.
- Lansaţi programul şi treceţi prin meniul sus-jos din colţul stânga sus pentru a selecta diskul cu datele criptate. Verificaţi ce dosare se află acolo.
- Apăsaţi dreapta pe dosarul pe care doriţi să îl recuperaţi şi selectaţi “Export”. De asemenea, puteţi selecta locul unde doriţi să îl stocaţi.
Aşteptaţi şase luni pentru a vă primi fişierele înapoi
PadCrypt spune că victimele nu ar trebui să şteargă datele criptate deoarece există o şansă de a le recupera gratuit în cazul în care victima nu are bani să plătească recompensa. Dacă fişierele dumneavoastră nu sunt atât de importante şi nu aveţi nevoie de ele urgent, puteţi aştepta şi vedea ce se întâmplă. Reţineţi doar că criminalii sunt imprevizibili şi nu puteţi conta pe ei.
În final, ar trebui să luaţi în considerare tot timpul protecţia împotriva cripto-ransomware-urilor. Pentru a vă proteja calculatorul de PadCrypt precum şi de alte ransomware-uri, utilizaţi un anti-spyware bun, precum FortectIntego, SpyHunter 5Combo Cleaner sau Malwarebytes.
Dacă acest ghid gratuit de înlăturare v-a ajutat şi sunteţi satisfăcut de serviciile noastre, vă rugăm să luaţi în considerare a face o donaţie pentru a menţine acest serviciu în viaţă. Chiar şi o sumă mică va fi apreciată.