Scala de severitate:  
  (99/100)

Virusul de tip ransomware PayDay. Cum se poate elimina? (Ghid de dezinstalare)

de Olivia Morelli - - | De tip: Ransomware

Ransomware-ul PayDay îşi continuă activitatea maliţioasă lansând versiuni noi

Picture of PayDay virus note

Ransomware-ul PayDay este un program maliţios, observat ca răspândindu-se pe la sfârşitul lui 2016. Iniţial, ţintea utilizatorii portughezi. Cu toate acestea, hackerii au continuat să lanseze versiuni noi ale cripto-malware-ului, care atacă oamenii din întreaga lume. Cea mai recentă variantă pare a fi ransomware-ul Sexy, descoperit în noiembrie, 2017.

Virusul Payday este bazat pe HiddenTear şi foloseşte criptografia AES. În timp ce adaugă extensia .sexy, noua versiune ataşează extensia de fişier .[email]-id-id.payday fiecărui fişier criptat. Puteţi recupera accesul la date folosind fie un decriptor standard sau un decriptor forţat HiddenTear.

În timp ce PayDay criptează datele, este posibil să observaţi încetiniri ale sistemului. Calculatorul poate încetini din mai multe motive, şi ransomware-ul, cu siguranţă nu este primul lucru care ne vine în minte.

După ce virusul de tip ransomware PayDay termină de criptat fişierele, creează un fişier în formatul HyperText Markup Language numit !!!!!ATENÇÃO!!!!!.html şi îl salvează pe ecranul utilizatorului. Nota de recompensă se deschide prin intermediul browserului web şi explică (în portugheză) că fişierele au fost criptate, şi că acum victima trebuie să plătească dacă vrea să le mai vadă din nou.

Malware-ul PayDay cere R$950, aproximativ 286 USD. Virusul refuză să accepte recompensa în vreo altă monedă în afară de Bitcoins, deoarece în acest mod ei pot primi banii şi rămâne anonimi. Criminalii lasă o adresă de email pentru contact în cazul în care victima vrea să îi întrebe ceva – CatSexy@protonmail.com

Nu ar trebui să vă lăsaţi intimidat de ameninţări, şi scăpaţi de acest virus cât de repede puteţi, deoarece este o altă variantă decriptabilă a lui HiddenTear. Eliminaţi PayDay folosind instrucţiunile de mai jos, şi pregătiţi-vă pentru procesul de decriptare a datelor, care poate converti toate fişierele .sexy în fişiere normale.

Pentru a elimina acest cripto-malware, trebuie să obţineţi un antivirus profesional sau o unealtă de eliminare malware, precum Reimage sau Malwarebytes Anti Malware. Cu toate acestea, ar trebui să verificaţi ghidul de eliminare a lui PayDay de la sfârşitul acestui articol, pentru a finaliza cu succes această sarcină.

Ransomware-ul Sexy ar putea fi urmaşul ultimului malware

Virusul Sexy ataşează extensia de fişier .sexy şi datelor codate. Chiar dacă suma recompensei nu este indicată, criminalii insistă să fie contactaţi prin intermediul adresei de email sexy_chief@aol.com pentru a seta preţul uneltei de decriptare. 

În plus, victimelor li se permite să trimită un fişier pentru decriptare gratuită, care nu conţine vreo informaţie valoroasă. Chiar dacă escrocii încearcă să câştige încrederea oamenilor, noi vă recomandăm să vă concentraţi pe eliminarea lui Sexy. Este clar că nu intenţionează să îşi oprească activitatea maliţioasă. Deci, nu îi motivaţi plătind recompensa, pentru ca ei să poată dezvolta versiuni similare a ransomware-ului PayDay, sau să îl poată actualiza pe acesta.

Introducerea noii versiuni a ransomware-ului

În octombrie, experţii din securitatea cibernetică de la NoVirus.uk au observat o versiune a acestui cripto-malware, care adăuga extensia de fişier .[]-id-.payday la sfârşitul numelui fişierului. Se crede că ransomware-ul este asociat cu BTCWare, împreună cu virusul PayDay.

După criptarea datelor, virusul livrează fişierul !! RETURN FILES !!.txt care informează pe scurt despre atacul ransomware-ului:

toate fişierele tale au fost criptate
vrei fişierele înapoi?
scrie un email: keyforyou@tuta.io

Mai târziu, virusul deschide fişierul payday.hta cu alte instrucţiuni. Ultima versiune include noi adrese de email: checkzip@india.com şi payday@cryptmaster.info. Malware-ul a fost observat răspândindu-se prin email-uri spam numite Schedule_order.r03. Cu toate că dezvoltatorul malware-ului pretinde că este un reprezentativ al companiei KAVITA, uitaţi-vă la mesaj:

Dear Sir,

Attached, please find attached Memo in the folder for purchase requests

Kindly issue requested Order confirmation at your earliest.

Looking forward to your cooperation in the matter for which thank you beforehand.

Escrocii nu s-au deranjat să scrie mesajul într-o engleză corectă. Greşelile gramaticale şi lipsa punctuaţiei sugerează originea înşelătoare a mesajului. Mai mult, versiunea de ransomware PayDay angajează strategia de atac brute-force, care caută, în mod special, protocoale slabe de Remote Desktop. Există unelte terţe, care vă pot ajuta să le administraţi şi să le faceţi mai complexe.

Pentru a reduce probabilitatea de a întâlni un ransomware, aceste recomandări vă pot ajuta:

  • setaţi o limită pentru încercările eşuate de autentificare
  • activaţi verificarea în doi paşi
  • actualizaţi aplicaţiile de securitate şi software-urile cruciale, precum Java şi Adobe Flash Player imediat după ce apar actualizările
  • setaţi parole complexe compuse din litere, semne de punctuaţie, caractere şi numere (evitaţi utilizarea cuvintelor din dicţionar).

În orice caz, grăbiţi-vă să eliminaţi cripto-virusul din sistem, şi încercaţi software-ul de decriptare HiddenTear sau BTCWare.

Nu deschideţi email-urile spam

Cea mai comună metodă de distribuţie este prin trimiterea email-urilor spam care descarcă fişierele executabile ale malware-ului. Email-urile spam par a fi originale. Deci, victimele sunt înşelate în a deschide ataşamentele, care sunt proiectate pentru a infiltra ransomware-ul în sistem. În plus, virusul de criptare fişiere se poate răspândi prin reclame purtătoare de malware sau prin kituri de exploatare .

Prin urmare, vă sugerăm să staţi departe de reclamele care par prea bune pentru a fi adevărate. De asemenea, este o idee bună ignorarea reclamelor de pe site-uri terţe, mai ales dacă vă îndeamnă să instalaţi „actualizări necesare.” Astfel de actualizări, de obicei, vin la pachet cu componente maliţioase. În final, acordaţi atenţie kiturilor de exploatare, care se găsesc pe site-uri compromise sau infecţioase, şi încearcă să exploateze vulnerabilităţile programelor din calculatoarele utilizatorilor.

Procedura de terminare a virusului PayDay

Vă recomandăm să eliminaţi virusul PayDay cu un software reputabil de securitate, deoarece veţi câştiga timp şi veţi elimina orice alt program maliţios care disrupe performanţa calculatorului. De asemenea, dorim să vă avertizăm în legătură cu faptul că este posibil ca malware-ul să prevină descărcarea software-ului antivirus. Puteţi trece peste asta pornind PC-ul în Safe Mode.

În plus, ar trebui să ştiţi că este posibilă şi eliminarea manuală a lui PayDay, însă nu este recomandată. Dacă nu aveţi suficientă experienţă, puteţi şterge fişierele greşite sau cheile de regiştri, care poate conduce la probleme de instabilitate a calculatorului.

Prin urmare, vă sugerăm să vă curăţaţi sistemul cu Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus sau Malwarebytes Anti Malware (sau un alt antivirus pe care îl aveţi). Dacă ransomware-ul previne instalarea sau utilizarea software-ului de securitate, instrucţiunile de mai jos vă pot ajuta.

Putem fi afiliaţi cu orice produs ce noi recomandăm pe acest site. Întreaga descriere se află în Acordul de Utilizator. Prin descărcarea oricărui software anti program spion furnizat pentru înlăturarea Virusul de tip ransomware PayDay sunteţi de acord cu politica de confidenţialitate şi acordul de utilizator al nostru.
faceţi acum!
Descărcare
Reimage (pentru eliminare) Fericirea
Garantată
Descărcare
Reimage (pentru eliminare) Fericirea
Garantată
Compatibil cu Microsoft Windows Compatibil cu OS X
Ce trebuie să fac dacă a eşuat
Dacă nu aţi reuşit să eliminaţi infecţia utilizând Reimage, Întrebaţi, contactaţi echipa noastră de suport şi oferiţi cât mai multe detalii posibile.
Reimage este recomandat pentru dezinstalarea lui Virusul de tip ransomware PayDay. Acest scaner gratuit vă permite să verificaţi dacă PC-ul dumneavoastră este infectat sau nu. Dacă trebuie să înlăturaţi malware, trebuie să achiziţionaţi versiunea licenţiată a uneltei de eliminare malware Reimage.
Mai multe informaţii despre acest program pot fi găsite în recenzia Reimage.
Menţiunile presei asupra produsului Reimage

Manual de înlăturare a virusului PayDay:

Înlăturaţi PayDay utilizând Safe Mode with Networking

Instrucţiunile prezentate vă pot arăta cum să preveniţi blocarea descărcării software-ului de securitate de către ransomware-ul PayDay.

  • Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Apăsaţi Start Shutdown Restart OK.
    2. Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
    3. Select Safe Mode with Networking from the list Selectaţi  'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
    2. Acum selectaţi Troubleshoot Advanced options Startup Settings şi în final apăsaţi pe Restart.
    3. Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Networking din fereastra Startup Settings. Selectaţi  'Enable Safe Mode with Networking'
  • Pasul 2: Înlătură PayDay

    Autentificaţi-vă în contul infectat şi porniţi browserul. Descărcaţi Reimage sau un alt program anti-spyware sigur. Actualizaţi-l după care efectuaţi o scanare completă a sistemului şi înlăturaţi fişierele maliţioase care aparţin ransomware-ului şi finalizaţi înlăturarea lui PayDay.

În cazul în care ransomware-ul blockează Safe Mode with Networking, încercaţi următoarea metodă.

Înlăturaţi PayDay utilizând System Restore

Unele victime raportează că ghidul de mai sus nu le poate ajuta. Într-un astfel de caz, încercaţi o metodă alternativă:

  • Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Apăsaţi Start Shutdown Restart OK.
    2. Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
    3. Select Command Prompt from the list Selectaţi  'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
    2. Acum selectaţi Troubleshoot Advanced options Startup Settings şi în final apăsaţi pe Restart.
    3. Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Command Prompt din fereastra Startup Settings. Selectaţi  'Enable Safe Mode with Command Prompt'
  • Pasul 2: Resetaţi fişierele şi setările sistemului
    1. Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter. Introduceţi 'cd restore' fără ghilimele şi apăsaţi pe 'Enter'
    2. Acum tastaţi rstrui.exe şi apăsaţi din nou pe Enter.. Introduceţi 'rstrui.exe' fără ghilimele şi apăsaţi pe 'Enter'
    3. Când apare o fereastră nouă, apăsaţi pe Next şi selectaţi punctul de restaurare care este înaintea infiltrării lui PayDay. După ce veţi face acest lucru, apăsaţi Next. Atunci când apare fereastra 'System Restore', selectaţi 'Next' Selectaţi punctul de restaurare şi apăsaţi pe 'Next'
    4. Acum apăsaţi pe Yes pentru a începe restaurarea sistemului. Apăsaţi  'Yes' şi începeţi restaurarea sistemului
    După ce setezi sistemul pe o dată anterioară, descarcă şi scanează calculatorul cu Reimage şi asigură-te că PayDay a fost eliminat cu succes

Bonus: Recuperaţi-vă datele

Ghidul prezentat mai sus v-ar putea ajuta să eliminaţi PayDay din calculatorul dumneavoastră. Pentru a vă recupera fişierele criptate, vă recomandăm să utilizaţi un ghid mai detaliat pregătit de către experţii noştri din securitate, faravirus.ro.

Dacă fişierele dumneavoastră au fost criptate de către PayDay, puteţi utiliza diverse metode pentru a le recupera:

Încercaţi HiddenTear BruteForcer împreună cu decriptorul pentru a vă ajuta să recuperaţi cele mai importante date

Din fericire, experţii din securitate au dezvoltat alte unelte de recuperare pentru victimele diferitelor versiuni ale lui HiddenTear. Puteţi începe prin a descărca HiddenTear BruteForcer şi să încărcaţi un fişier cu extensia .PNG în acesta. După, căutaţi HiddenTear în meniul Mode şi lansaţi BruteForce. După, instalaţi decriptorul HiddenTear şi folosiţi codul de decriptare generat de BruteForce pentru a vă recupera datele.

În final, ar trebui să luaţi în considerare tot timpul protecţia împotriva cripto-ransomware-urilor. Pentru a vă proteja calculatorul de PayDay precum şi de alte ransomware-uri, utilizaţi un anti-spyware bun, precum Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus sau Malwarebytes Anti Malware.

Despre autor

Olivia Morelli
Olivia Morelli

Dacă acest ghid gratuit de înlăturare v-a ajutat şi sunteţi satisfăcut de serviciile noastre, vă rugăm să luaţi în considerare a face o donaţie pentru a menţine acest serviciu în viaţă. Chiar şi o sumă mică va fi apreciată.

Contactați Olivia Morelli
Despre compania Esolutions

Ghiduri de înlăturare în alte limbi