Virusul de tip ransomware Mamba. Cum se poate elimina? (Ghid de dezinstalare)

de Linas Kiguolis - - | De tip: Aplicaţii de tip ransomware
12

Ransomware-ul Mamba s-a întors şi ţinteşte reţelele corporaţiilor din Brazilia şi Arabia Saudită

Mamba ransomware lock screen

Mamba este un virus de criptare fişiere care a apărut în 2016, atunci când a atacat, în noiembrie, Agenţia de Transport Municipal din San Francisco, şi a cerut o recompensă de 73,000 de dolari . În august 2017, ransomware-ul s-a întors şi a atacat mai multe corporaţii din Brazilia şi Arabia Saudită .

Ransomware-ul Mamba este cunoscut şi sub numele de HDD Cryptor. A fost descoperit faptul că utilizează o tehnică de criptare discuri similară cu modul de operare a lui Petya. Totuşi, acest ransomware nou ţinteşte să cripteze doar datele şi nu tabelul de fişiere master precum Petya. Pentru acest lucru, foloseşte programul DiskCryptor.

A fost raportat că virusul lasă fişierele 152.exe sau 141.exe în calculator, care sunt responsabile pentru efectuarea procesului de criptare. După criptarea fişierelor victimei, virusul reporneşte calculatorul şi afişează următorul mesaj pe ecranul de pornire:

“You are Hacked ! H.D.D. Encrypted , Contact Us For Decryption Key (w889901665@yandex.com)
YOURID: [Victim’s ID]”

Victima poate introduce parola de decriptare pe ecranul de pornire; cu toate acestea, el sau ea trebuie ca mai întâi să facă rost de una. Victimele trebuie să contacteze autorii malware-ului şi să obţină informaţii despre cum se pot decripta datele şi cum se poate reobţine accesul la calculator. Virusul cere o recompensă de 1BTC per gazdă. Banii trebuie transferaţi într-un portofel Bitcoin dat.

Cu toate acestea, noi recomandăm utilizatorilor să NU plătească recompensa deoarece nu oferă vreo garanţie precum că fişierele vor fi decriptate . Eliminarea lui Mamba este de o importanţă majoră, şi ar trebui finalizată cu ajutorul unor unelte anti-malware, precum Reimage sau Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus.

Ransomware-ul Mamba a lansat atacuri noi în august, 2017

Virusul Mamba foloseşte utilitatea PSEXEC pentru a instala şi rula ransomware-ul în reţea. Acelaşi comportament l-am văzut şi în operaţiunea NotPetya. Atunci când compromite reţeaua, creează un dosar C: \xampp\http unde instalează componentele lui DiskCryptor. Această utilitate este folosită pentru a executa ransomware pe calculatorul local.

De asemenea, această unealtă generează parole unice pentru fiecare calculator care este conectat la reţea executând această comandă:

C: \TEMP\721.exe longPassword /accepteula

Unul dintre cele mai înşelătoare servicii a acestui malware este faptul că se autoinstalează ca şi un Windows Service şi se ascunde sub numele de DefragmentationService. De asemenea, primeşte privilegii de tip LocalSystem, deci Mamba obţine acces complet asupra calculatorului.

După ce etapa pregătitoare este completă, şi toate componentele maliţioase sunt instalate în sistem, malware-ul reporneşte dispozitivul afectat. După, îi configurează sarcina de încărcare cu Master Boot Record (MBR) şi începe criptarea datelor cu DiskCryptor.

Mamba criptează partiţiile de disk şi arată o notă de recompensă neobişnuită. Criminalii cibernetici cer să fie contactaţi prin intermediul uneia dintre adresele de email oferite, pentru a primi cheia de decriptare.

  • mcrytp2017@yandex.com
  • citrix2234@protonmail.com

Nota de recompensă include şi numărul unic de ID al victimei. Totuşi, nu vă recomandăm să pierdeţi timpul comunicând cu criminalii şi urmându-le cererile. Ar trebui să îl eliminaţi automat pe Mamba şi să vă restauraţi fişierele din copiile de rezervă sau să utilizaţi alte metode de recuperare.

Mamba a lovit sistemul public de transport din San Francisco în noiembrie, 2016

La sfârşitul lui noiembrie, 2016, ransomware-ul Mamba a reuşit să găsească o cale către serverele de cale ferată din municipiul San Francisco şi să corupă înregistrări esenţiale cu o criptare puternică. Conform rapoartelor, virusul a lovit 2,112 calculatoare din 8,656, blocând sistemul de email, sistemul de plată, şi de asemenea, sistemul de program al căilor ferate.

Virusul a afişat acelaşi mesaj pe toate calculatoarele sistemului de căi ferate: You hacked, all data encrypted, contact for a key (cryptom27@yandex.ru). Ransomware-ul a reuşit să doboare şi aparatele de bilete.

Mai mult, autorul malware-ului Mamba a răspuns unor jurnalişti al unui ziar din San Francisco, spunând că nu a intenţionat să infecteze sistemul de transport, însă dacă tot s-a întâmplat, organizaţia trebuie să plătească 100 Bitcoins (73,000 de dolari) pentru a primi programul de decriptare.

Autorul spune că se numeşte Any Saolis, însă evident, acesta nu este adevăratul lui nume. Mai mult, atacatorul a dezvăluit că a obţinut acces la documentele confidenţiale ale companiei şi că le va publica online în cazul în care compania feroviară refuză să plătească recompensa .

Totuşi, compania deja a restaurat datele şi a menţionat că atacatorii nu au reuşit să acceseze datele sensibile . Recompensa nu a fost plătită.

Metodele de distribuţie ale viruşilor de tip ransomware

Virusul se răspândeşte ca un cal troian, deci utilizatorul îl poate instala crezând că este un fişier inofensiv. Îl puteţi descărca de pe email după deschiderea unui ataşament infecţios sau lansând o actualizare de software maliţioasă.

Prin urmare, este recomandat să staţi departe de site-urile care oferă descărcări chestionabile sau alerte de tip pop-up ce menţionează că aveţi nevoie de o actualizare urgentă a unui program. Astfel de actualizări false de obicei conţin malware.

În plus, ameninţările de tip ransomware deseori se răspândesc cu ajutorul kiturilor de exploatare. Pentru a preveni atacurile ransomware, utilizatorii ar trebui:

  • să îşi protejeze în avans calculatoarele instalând programe anti-malware;
  • să creeze copii de rezervă ale datelor;
  • să sară peste site-urile chestionabile de pe Internet.

Instrucţiuni pentru eliminarea ransomware-ului Mamba

Tutorial pentru eliminarea ransomware-ului Mamba
Pentru a elimina virusul Mamba, după cum am spus, este recomandat să utilizaţi o utilitate anti-malware, precum Reimage sau Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus. Vă recomandăm să le utilizaţi deoarece au fost create de către experţi din IT care analizează fiecare virus individual şi creează algoritmi capabili să detecteze toate fişierele care aparţin viruşilor, şi să le elimine.

În cazul în care nu sunteţi un expert în IT, nu ar trebui să încercaţi să îl eliminaţi manual pe Mamba, deoarece riscaţi să ştergeţi fişierele care nu trebuie, să lăsaţi componente ale virusului şi alte componente nedorite în sistemul calculatorului.

Momentan, nu a fost creată o unealtă gratuită de decriptare pentru Mamba; prin urmare, singurul mod de a vă restaura fişierele este prin copierea acestora în calculator dintr-o copie de rezervă.

Putem fi afiliaţi cu orice produs ce noi recomandăm pe acest site. Întreaga descriere se află în Acordul de Utilizator. Prin descărcarea oricărui software anti program spion furnizat pentru înlăturarea Virusul de tip ransomware Mamba sunteţi de acord cu politica de confidenţialitate şi acordul de utilizator al nostru.
faceţi acum!
Descărcare
Reimage (pentru eliminare) Fericirea
Garantată
Descărcare
Reimage (pentru eliminare) Fericirea
Garantată
Compatibil cu Microsoft Windows Compatibil cu OS X
Ce trebuie să fac dacă a eşuat
Dacă nu aţi reuşit să eliminaţi infecţia utilizând Reimage, Întrebaţi, contactaţi echipa noastră de suport şi oferiţi cât mai multe detalii posibile.
Reimage este recomandat pentru dezinstalarea lui Virusul de tip ransomware Mamba. Acest scaner gratuit vă permite să verificaţi dacă PC-ul dumneavoastră este infectat sau nu. Dacă trebuie să înlăturaţi malware, trebuie să achiziţionaţi versiunea licenţiată a uneltei de eliminare malware Reimage.

Mai multe informaţii despre acest program pot fi găsite în recenzia Reimage.

Mai multe informaţii despre acest program pot fi găsite în recenzia Reimage.
Menţiunile presei asupra produsului Reimage
Menţiunile presei asupra produsului Reimage

Manual de înlăturare a virusului Mamba:

Înlăturaţi Mamba utilizând Safe Mode with Networking

Reimage este o unealtă pentru detectat malware.
Trebuie să achiziţionaţi Versiunea Completă pentru a înlătura infecţiile.
Mai multe informaţii despre Reimage.

Dacă nu puteţi rula eliminarea automată a lui Mamba, urmaţi aceşti paşi:

  • Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Apăsaţi Start Shutdown Restart OK.
    2. Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
    3. Select Safe Mode with Networking from the list Selectaţi  'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
    2. Acum selectaţi Troubleshoot Advanced options Startup Settings şi în final apăsaţi pe Restart.
    3. Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Networking din fereastra Startup Settings. Selectaţi  'Enable Safe Mode with Networking'
  • Pasul 2: Înlătură Mamba

    Autentificaţi-vă în contul infectat şi porniţi browserul. Descărcaţi Reimage sau un alt program anti-spyware sigur. Actualizaţi-l după care efectuaţi o scanare completă a sistemului şi înlăturaţi fişierele maliţioase care aparţin ransomware-ului şi finalizaţi înlăturarea lui Mamba.

În cazul în care ransomware-ul blockează Safe Mode with Networking, încercaţi următoarea metodă.

Înlăturaţi Mamba utilizând System Restore

Reimage este o unealtă pentru detectat malware.
Trebuie să achiziţionaţi Versiunea Completă pentru a înlătura infecţiile.
Mai multe informaţii despre Reimage.

  • Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Apăsaţi Start Shutdown Restart OK.
    2. Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
    3. Select Command Prompt from the list Selectaţi  'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
    2. Acum selectaţi Troubleshoot Advanced options Startup Settings şi în final apăsaţi pe Restart.
    3. Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Command Prompt din fereastra Startup Settings. Selectaţi  'Enable Safe Mode with Command Prompt'
  • Pasul 2: Resetaţi fişierele şi setările sistemului
    1. Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter. Introduceţi 'cd restore' fără ghilimele şi apăsaţi pe 'Enter'
    2. Acum tastaţi rstrui.exe şi apăsaţi din nou pe Enter.. Introduceţi 'rstrui.exe' fără ghilimele şi apăsaţi pe 'Enter'
    3. Când apare o fereastră nouă, apăsaţi pe Next şi selectaţi punctul de restaurare care este înaintea infiltrării lui Mamba. După ce veţi face acest lucru, apăsaţi Next. Atunci când apare fereastra 'System Restore', selectaţi 'Next' Selectaţi punctul de restaurare şi apăsaţi pe 'Next'
    4. Acum apăsaţi pe Yes pentru a începe restaurarea sistemului. Apăsaţi  'Yes' şi începeţi restaurarea sistemului
    După ce setezi sistemul pe o dată anterioară, descarcă şi scanează calculatorul cu Reimage şi asigură-te că Mamba a fost eliminat cu succes

Bonus: Recuperaţi-vă datele

Ghidul prezentat mai sus v-ar putea ajuta să eliminaţi Mamba din calculatorul dumneavoastră. Pentru a vă recupera fişierele criptate, vă recomandăm să utilizaţi un ghid mai detaliat pregătit de către experţii noştri din securitate, faravirus.ro.

Cu toate că încă nu există o unealtă de decriptare gratuită, vă rugăm, nu intraţi în panică şi nu vă grăbiţi să plătiţi recompensa. Criminalii v-ar putea trimite un fişier infecţios împreună cu software-ul de decriptare, sau să nu vă ofere deloc o unealtă de decriptare. Puteţi aştepta, dacă doriţi – uneori experţii din securitate reuşesc să dezvolte unelte de decriptare capabile să spargă codul ransomware-ului. Desigur, vă puteţi recupera fişierele din copii de rezervă sau drive-uri, însă mai întâi, eliminaţi virusul Mamba.

Dacă fişierele dumneavoastră au fost criptate de către Mamba, puteţi utiliza diverse metode pentru a le recupera:

Data Recovery Pro v-ar putea ajuta să vă recuperaţi datele

Dacă fişierele dumneavoastră au fost criptate de Mamba, puteţi încerca serviciul Data Recovery Pro. Instalaţi acest program utilizând aceste instrucţiuni:

  • Descarcă Data Recovery Pro (http://faravirus.ro/download/data-recovery-pro-setup.exe);
  • Urmaţi paşii din setările Data Recovery şi instalaţi programul în calculatorul dumneavoastră;
  • Lansaţi-l şi scanaţi-vă calculatorul pentru fişierele criptate de către ransomware-ul Mamba;
  • Recuperaţi-le.

Decriptorul Mamba încă nu este disponibil

În final, ar trebui să luaţi în considerare tot timpul protecţia împotriva cripto-ransomware-urilor. Pentru a vă proteja calculatorul de Mamba precum şi de alte ransomware-uri, utilizaţi un anti-spyware bun, precum Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus sau Malwarebytes Anti Malware.

Despre autor

Linas Kiguolis
Linas Kiguolis

Dacă acest ghid gratuit de înlăturare v-a ajutat şi sunteţi satisfăcut de serviciile noastre, vă rugăm să luaţi în considerare a face o donaţie pentru a menţine acest serviciu în viaţă. Chiar şi o sumă mică va fi apreciată.

Mai multe informaţii despre autor

Sursa: http://www.2-spyware.com/remove-mamba-ransomware-virus.html

Ghiduri de înlăturare în alte limbi