Scala de severitate:  
  (99/100)

Virusul de tip ransomware DetoxCrypto. Cum se poate elimina? (Ghid de dezinstalare)

de Olivia Morelli - - | De tip: Ransomware

Ransomware-ul DetoxCrypto lansează două versiuni deodată: Calipso şi Pokemon. Cum operează aceşti viruşi?

Virusul DetoxCrypto este o infecţie cibernetică de tip ransomware severă care a fost descoperită sub două nume diferite. Primul este ransomware-ul Pokemon, iar cel de al doilea este ransomware-ul Calipso. Ambii viruşi au fost creaţi pentru a cripta fişierele victimei şi pentru a face datele inaccesibile. Scopul acestei activităţi maliţioase este de a obţine bani de la victimă, cerând să plătească o recompensă în schimbul software-ului de decriptare. Indiferent de ce, noi nu vă recomandăm să plătiţi recompensa, deci în loc să puneţi mâna pe cardul de credit, ar trebui să vă gândiţi la eliminarea lui DetoxCrypto. Vă recomandăm să folosiţi o unealtă de eliminare malware puternică, de exemplu programul Reimage pentru a elimina virusul DetoxCrypto. Pentru mai multe informaţii despre această eliminare, urmaţi instrucţiunile oferite la sfârşitul acestui articol.

Infecţia este distribuită sub forma unui singur fişier executabil, care, odată executat, va lăsa următoarele fişiere în calculatorul victimei:

  • MicrosoftHost.exe – acest fişier are scopul de a cripta fişierele victimei şi să oprească serverele bazei de date. De asemenea, modifică wallpaper-ul de pe ecranul victimei cu o imagine ce afişează un mesaj de la criminalii cibernetici.
  • Fişierul Pokemon.exe sau Calipso.exe  – acesta este fişierul executabil al ransomware-ului ce permite decriptarea datelor victimei în cazul în care victima are cheia de decriptare corectă. De asemenea, redă fişierul audio.
  • Extensia de fişier .wav – acesta este fişierul audio, care va fi executat de către programul Pokemon.exe sau Calipso.exe.

Different versions of DetoxCrypto ransomware

Ambii viruşi au un comportament similar şi pe parcursul procesului de criptare nu adaugă nicio extensie de fişier datelor criptate. Totuşi, există unele diferenţe între aceste variante de malware. În plus, au fost observate unele versiuni noi, deci, mai jos vrem să oferim o listă cu variantele virusului DetoxCrypto.

Versiuni ale malware-ului DetoxCrypto

Virusul de tip ransomware Calipso – acest virus creează un dosar numit Calipso, unde îşi stochează componentele. Acest virus redă un fişier audio, care citeşte un mesaj scurt informând victima că fişierele au fost criptate şi că pentru a le debloca victima trebuie să achite 2 Bitcoins în 3 zile. Conform mesajului redat, suma recompensei va creşte în fiecare zi extra cu 1 Bitcoin. Mesajul pretinde că dacă victima şterge virusul, toate fişierele criptate vor fi şterse. Proba de ransomware care a fost testată a oferit adresa de email motorx2016@mail2tor.com. Victima poate contacta criminalii cibernetici prin intermediul acesteia pentru a obţine instrucţiuni de plată a recompensei. Ce este interesant la această variantă de ransomware este că face capturi ale ecranului victimei şi le trimite pe serverul criminalilor cibernetici. Cu toate că nu există vreo informaţie exactă de ce acţionează în acest mod acest virus, credem că încearcă să descopere fişiere valoroase pe ecranul victimei şi încearcă să facă victima să plătească o recompensă mai mare.

Virusul de tip ransomware Pokemon, cunoscut şi ca virusul We are all Pokemons. Cu toate că are o denumite similară cu cea a ransomware-ului PokemonGo, acest program maliţios este un malware complet diferit. Imediat după ce blochează calculatorul, va executa fişierul audio, care de fapt redă o melodie stupidă. Fundalul ecranului va fi schimbat cu o imagine ce afişează un text şi un Pickachu trist lângă. Preţul pentru software-ul de decriptare nu diferă de cel al lui Calipso. Victima trebuie să achite în 96 de ore; în mod contrar, toate fişierele din calculator vor fi şterse. Conform notificării de recompensă, acelaşi lucru se va întâmpla şi dacă victima elimină componentele ransomware-ului din calculator. Email-ul oferit pe ecranul blocat este contact365@mail2tor.com.

Virusul de tip ransomware SerpicoAceasta este ultima versiune a acestui malware. Cu toate că, relativ, cere o recompensă modestă, nu luaţi în considerare plata acesteia. Modurile lui de operare şi tehnicile de criptare sunt încă un mister. În plus,  virusul Serpico are o funcţie distinctivă – nu ataşează vreo extensie de fişier fişierelor corupte. Tehnicile lui de distribuţie nu diferă mult de cele ale altor ameninţări de tip ransomware. Evitaţi citirea email-urilor spam şi verificaţi expeditorul înainte de a deschide formularul unui aşa numit document oficial. De asemenea, ar trebui să evitaţi şi domeniile de răspândire fişiere. În final, virusul prezintă aceeaşi adresă de email ca şi malware-ul Calipso –  motox2016@mail2tor.com.

Virusul de tip ransomware MotoxLockerAceasta este cea mai nouă variantă a ransomware-ului DetoxCrypto, care criptează fişierele cu criptarea AES după care cere o recompensă de 50 de euro. Desigur, virusul pretinde că este imposibil să recuperaţi datele în alt mod decât achitând recompensa. Din fericire, acest lucru nu este adevărat deoarece victimele virusului MotoxLocker îşi pot recupera gratis fişierele – unealta de decriptare MotoxLocker a fost deja lansată. Se pare că există unele greşeli în codul virusului ce permite să dezvăluie cheia de decriptare unică destul de uşor. Înainte de a utiliza această unealtă, malware-ul MotoxLocker trebuie să fie eliminat din calculatorul compromis.

Actualizare septembrie 2016: Ransomware-ul DetoxCrypto acum imită un antivirus pentru a intra în calculatoarele utilizatorilor

Ransomware-ul DetoxCrypto nu încetează să creeze haos în calculatoarele utilizatorilor, însă dezvoltatorii virusului vor mai mult. Ei încă mai caută cea mai bună tehnică de distribuţie şi recent au lansat o versiune de testare a virusului care se răspândeşte deghizat ca şi executabilul malwerbyte.exe. Clar puteţi observa o problemă aici. Cu toate că este o greşeală în titlu, unii utilizatori mai puţin atenţi îl pot confunda cu uşurinţă cu fişierul antivirus legitim Malwarebytes Malwarebytes. Vi se poate oferi să descărcaţi acest fişier într-un mod înşelător ca şi actualizare a unui software sau ataşat unui email maliţios din inbox-ul dumneavoastră. Deci, trebuie să fiţi foarte atent şi să vă actualizaţi sau descărcaţi programul dorit doar de pe surse reputabile. Din fericire, această variantă particulară a virusului nu criptează fişierele şi poate fi ştearsă din calculator destul de uşor. Chiar şi aşa, după cum am menţionat, este posibil ca hackerii să testeze apele, şi este doar o chestiune de timp până când această strategie va fi aplicată pentru a răspândi un ransomware real.

Metodele utilizate pentru distribuirea malware-ului DetoxCrypto

Virusul DetoxCrypto, exact ca orice alt virus de tip crypto-ransomware este distribuit prin email-uri maliţioase şi promovare maliţioasă. Din nefericire, nu putem oferi o adresă de email specifică ce trimite email-uri care includ acest ransomware, deoarece escrocii creează sute. Sfatul nostru este ca tot timpul să săriţi peste email-urile care vin de la surse necunoscute, şi să nu deschideţi fişierele ataşate acestora. De asemenea, puteţi instala acest ransomware după ce aţi apăsat pe o reclamă web ce ascunde malware. Vă sugerăm să evitaţi apăsarea pe reclame agresive care vă spun să vă scanaţi sistemul calculatorului cu un software de securitate a calculatorul de care nu aţi auzit vreodată şi să nu fiţi de acord cu instalarea de actualizări pentru Java sau Flash, dacă aceste oferte vin de pe website-uri terţe dubioase. În cazul în care consideraţi că aveţi nevoie să actualizaţi aceste programe, mergeţi direct pe site-ul oficial al dezvoltatorilor şi instalaţi-le pe cele legitime. Mai mult, acest malware poate fi distribuit prin kituri de exploatare, cu toate că momentan nu există vreo informaţie oficială precum că vreun kit de exploatare răspândeşte vreun virus DetoxCrypto. Totuşi, vă sugerăm că tărie să instalaţi un program anti-malware puternic pentru a vă proteja calculatorul contra atacurilor malware. 

Tutorial pentru eliminarea lui DetoxCrypto

Vă rugăm ca pentru eliminarea virusului DetoxCrypto să folosiţi un software de eliminare malware puternic. Asiguraţi-vă că îl actualizaţi la ultima versiune înainte să îi permiteţi să efectueze o scanare a sistemului. Nu vă recomandăm să efectuaţi manual eliminarea lui DetoxCrypto pentru că este o procedură extrem de importantă care trebuie efectuată într-un anumit mod. Dacă nu sunteţi un utilizator avansat de PC, vă rugăm să nu încercaţi să ştergeţi manual acest virus. Dacă nu puteţi descărca un software anti-malware sau să îl actualizaţi pe cel pe care îl aveţi din cauză că acest virus nu vă permite să faceţi acest lucru, vă rugăm urmaţi aceste instrucţiuni:

Descărcare
faceţi acum!
Descărcare
Reimage (pentru eliminare) Fericirea
Garantată
Descărcare
Reimage (pentru eliminare) Fericirea
Garantată
Compatibil cu Microsoft Windows Supported versions Compatibil cu OS X Supported versions
Ce trebuie să fac dacă a eşuat
Dacă nu aţi reuşit să eliminaţi daunele aduse de virus folosind Reimage, sadresaţi o întrebare echipei noastre de suport tehnic şi oferiţi cât mai multe detalii posibile.
Reimage este recomandat pentru a elimina daunele aduse de viruşi Acest scaner gratuit vă permite să verificaţi dacă PC-ul dumneavoastră este infectat sau nu. Dacă trebuie să înlăturaţi malware, trebuie să achiziţionaţi versiunea licenţiată a uneltei de eliminare malware Reimage.

Manual de înlăturare a virusului DetoxCrypto:

Înlăturaţi DetoxCrypto utilizând Safe Mode with Networking

  • Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Apăsaţi Start Shutdown Restart OK.
    2. Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
    3. Select Safe Mode with Networking from the list Selectaţi  'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
    2. Acum selectaţi Troubleshoot Advanced options Startup Settings şi în final apăsaţi pe Restart.
    3. Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Networking din fereastra Startup Settings. Selectaţi  'Enable Safe Mode with Networking'
  • Pasul 2: Înlătură DetoxCrypto

    Autentificaţi-vă în contul infectat şi porniţi browserul. Descărcaţi Reimage sau un alt program anti-spyware sigur. Actualizaţi-l după care efectuaţi o scanare completă a sistemului şi înlăturaţi fişierele maliţioase care aparţin ransomware-ului şi finalizaţi înlăturarea lui DetoxCrypto.

În cazul în care ransomware-ul blockează Safe Mode with Networking, încercaţi următoarea metodă.

Înlăturaţi DetoxCrypto utilizând System Restore

  • Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Apăsaţi Start Shutdown Restart OK.
    2. Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
    3. Select Command Prompt from the list Selectaţi  'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
    2. Acum selectaţi Troubleshoot Advanced options Startup Settings şi în final apăsaţi pe Restart.
    3. Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Command Prompt din fereastra Startup Settings. Selectaţi  'Enable Safe Mode with Command Prompt'
  • Pasul 2: Resetaţi fişierele şi setările sistemului
    1. Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter. Introduceţi 'cd restore' fără ghilimele şi apăsaţi pe 'Enter'
    2. Acum tastaţi rstrui.exe şi apăsaţi din nou pe Enter.. Introduceţi 'rstrui.exe' fără ghilimele şi apăsaţi pe 'Enter'
    3. Când apare o fereastră nouă, apăsaţi pe Next şi selectaţi punctul de restaurare care este înaintea infiltrării lui DetoxCrypto. După ce veţi face acest lucru, apăsaţi Next. Atunci când apare fereastra 'System Restore', selectaţi 'Next' Selectaţi punctul de restaurare şi apăsaţi pe 'Next'
    4. Acum apăsaţi pe Yes pentru a începe restaurarea sistemului. Apăsaţi  'Yes' şi începeţi restaurarea sistemului
    După ce setezi sistemul pe o dată anterioară, descarcă şi scanează calculatorul cu Reimage şi asigură-te că DetoxCrypto a fost eliminat cu succes

Bonus: Recuperaţi-vă datele

Ghidul prezentat mai sus v-ar putea ajuta să eliminaţi DetoxCrypto din calculatorul dumneavoastră. Pentru a vă recupera fişierele criptate, vă recomandăm să utilizaţi un ghid mai detaliat pregătit de către experţii noştri din securitate, faravirus.ro.

Din nefericire, încă nu este o unealtă de decriptare pentru virusul DetoxCrypto, însă puteţi urma câteva din metodele de recuperare date, oferite de către experţii noştri. Sperăm că printre ele veţi descoperi o tehnică care vă va permite să recuperaţi măcar câteva dintre fişierele personale.

Dacă fişierele dumneavoastră au fost criptate de către DetoxCrypto, puteţi utiliza diverse metode pentru a le recupera:

Metoda de recuperare DetoxCrypto utilizând Data Recovery Pro

DetoxCrypto este o infecţie înşelătoare care cel mai probabil vă va lăsa fără fişiere. Însă, cu un software modern precum Data Recovery Pro, încă mai aveţi speranţe să vă recuperaţi datele. Este tehnica ce cere cele mai puţine abilităţi şi cel mai puţin efort în a vă ajuta să vă recuperaţi datele, aşa că de ce să nu încercaţi? Paşii ce trebuie să îi urmaţi sunt oferiţi mai jos.

  • Descărcare Data Recovery Pro;
  • Urmaţi paşii din setările Data Recovery şi instalaţi programul în calculatorul dumneavoastră;
  • Lansaţi-l şi scanaţi-vă calculatorul pentru fişierele criptate de către ransomware-ul DetoxCrypto;
  • Recuperaţi-le.

Metoda de recuperare a datelor după DetoxCrypto folosind funcţia Windows Previous Versions

Dacă nu aţi auzit de recuperarea datelor folosind funcţia Windows Previous Versions, este posibil să consideraţi această metodă ca fiind utilă. Tot ce trebuie să faceţi ca această metodă să funcţioneze este să vă asiguraţi că funcţia de System Restore a fost activată înainte de infiltrarea lui DetoxCrypto. După, urmaţi acest ghid simplu:

  • Căutaţi un fişier criptat pe care doriţi să îl recuperaţi şi apăsaţi dreapta pe el;
  • Selectaţi “Properties” şi mergeţi la fereastra “Previous versions”;
  • Aici, verificaţi fiecare copie disponibilă a fişierelui în “Folder versions”. Ar trebui să selectaţi versiunea pe care doriţi să o recuperaţi şi apăsaţi “Restore”.

Metoda de recuperare a datelor folosind ShadowExplorer

Dacă DetoxCrypto nu a şters Shadow Volume Copies din PC-ul dumneavoastră — sunteţi norocos. Puteţi încerca să vă recuperaţi datele folosind ShadowExplorer care extrage copiile fişierelor menţionate din copiile de rezervă ale sistemului şi le restaurează. Pentru a efectua această procedură în mod adecvat, vă rugăm să citiţi instrucţiunile de mai jos:

  • Descarcă Shadow Explorer (http://shadowexplorer.com/);
  • Urmaţi setarea de instalare Shadow Explorer şi instalaţi această aplicaţie în calculatorul dumneavoastră.
  • Lansaţi programul şi treceţi prin meniul sus-jos din colţul stânga sus pentru a selecta diskul cu datele criptate. Verificaţi ce dosare se află acolo.
  • Apăsaţi dreapta pe dosarul pe care doriţi să îl recuperaţi şi selectaţi “Export”. De asemenea, puteţi selecta locul unde doriţi să îl stocaţi.

În final, ar trebui să luaţi în considerare tot timpul protecţia împotriva cripto-ransomware-urilor. Pentru a vă proteja calculatorul de DetoxCrypto precum şi de alte ransomware-uri, utilizaţi un anti-spyware bun, precum Reimage, Malwarebytes MalwarebytesCombo Cleaner sau Plumbytes Anti-MalwareMalwarebytes Malwarebytes.

Despre autor

Olivia Morelli
Olivia Morelli

Dacă acest ghid gratuit de înlăturare v-a ajutat şi sunteţi satisfăcut de serviciile noastre, vă rugăm să luaţi în considerare a face o donaţie pentru a menţine acest serviciu în viaţă. Chiar şi o sumă mică va fi apreciată.

Contactați Olivia Morelli
Despre compania Esolutions

Sursa: https://www.2-spyware.com/remove-detoxcrypto-ransomware-virus.html

Ghiduri de înlăturare în alte limbi