Elimină virusul Samas (Ghid de înlăturare virus) - Paşi de decriptare incluşi
Ghid de înlăturare a viruşilor Samas
Ce este Ransomware-ul Samas?
Analizarea ransomware-ului Samas
Virusul Samas (cunoscut şi ca ransomware-ul Samas DR) este una dintre cele mai persistente infecţii de tip ransomware cunoscute . Acest parazit a fost prin jur din 2014, şi în ultimul an a obţinut cel puţin 450,000 de dolari de la victimele din Nordul Americii şi Europa . Desigur, programului i-a luat mult timp să ajungă în acest punct şi, privind dintr-o perspectivă tehnică, această călătorie a fost interesantă de privit. A oferit experţilor mai multe detalii despre cum funcţionează şi se dezvoltă un ransomware. În acest articol, vom analiza principalele stagii din evoluţia ransomware-ului Samas şi vom oferi sugestii utile pentru a preveni apariţia acestui virus în calculatorul dumneavoastră. Dacă aţi dat peste acest articol în timp ce căutaţi sugestii de eliminare a lui Samas, nu veţi fi dezamăgit. La sfârşitul articolului, veţi găsi recomandările experţilor pentru o exterminare sigură a virusului. Reţineţi că aceste recomandări sunt doar pentru a facilita eliminarea virusului, însă procesul în sine ar trebui efectuat utilizând doar un software anti-virus specializat, precum Reimage.
În loc să ţintească utilizatori individuali, ransomware-ul Samas ţinteşte instituţii şi în ultimul an a reuşit să colecteze 450,000 de dolari.
Majoritatea dintre voi probabil ştiţi ce este un ransomware , însă, pentru cei care nu ştiu, putem spune pe scurt că un ransomware este un virus cibernetic care blochează accesul la datele personale ale utilizatorilor fie prin iniţierea unui lacăt pe ecran sau prin criptarea unor anumite tipuri de fişiere folosind un algoritm complicat. Pentru a fi mai precişi, blochează fişierele aplicând un grad de criptare militar RSA-2048 , după care adaugă extensia „encrypted.RSA” la sfârşitul numelor fişierelor. Ultimele versiuni ale virusului utilizează alte extensii precum .iloveworld; .helpmeencedfile; .whereisyourfiles; weareyourfriends, .theworldisyours, şi .whereisyourfiles pentru a face inutile datele personale ale victimei. Imediat după ce fişierele sunt criptate, sarcina utilă maliţioasă va lăsa o notă de recompensă numită PLEASE_READ_FOR_DECRYPT_FILES_{ID-ul victimei} în calculatorul victimei, cerând o recompensă în schimbul cheii de decriptare. Este la decizia victimei dacă se merită sau nu să plătească, însă experţii sugerează să se elimine Samas în loc de plată.
Vorbind despre versiunile virusului Samas, ar trebui să punctăm că chiar dacă originile lui Samas vin din 2014, acest virus nu a avut o formă definitivă decât în Martie, 2016 . Chiar şi aşa, experţii numără până la 60 de versiuni diferite, majoritatea acestora fiind create pentru a ataca anumite instituţii sau campanii. Într-adevăr, Samas nu este un ransomware tipic în sensul în care ţinteşte anumite victime în loc să infecteze utilizatori la întâmplare. Hackerii sunt conştienţi de faptul că instituţiile publice incluzând spitale sau poliţie sunt mult mai vulnerabile la atacurile ransomware, şi mai doritoare de plată deoarece deseori acestea au foarte multă documentaţie şi informaţii de ale clienţilor de protejat. Desigur, astfel de atacuri nu au succes tot timpul deoarece majoritatea instituţiilor moderne din zilele noastre îşi creează copii de rezervă ale datelor importante şi le stochează într-un loc sigur, departe de hackeri. Chiar şi aşa, hackerii au totul pregătit în cazul în care victimele decid să plătească recompensa. Aceştia setează un cont de Bitcoin în care pot primi în mod anonim recompensa şi plasează adresa acestuia în calculatoarele infectate împreună cu nota de recompensă. Până acum, au fost descoperite 19 adrese diferite pentru portofele Bitcoin asociate cu Samas şi un număr necunoscut de adrese încă nedezvăluite.
Cum livrează hackerii acest ransomware în calculatoarele ţintite?
Ransomware-ul Samas este o infecţie cibernetică complexă deoarece se schimbă tot timpul şi se modifică şi adaptează la fiecare atac individual. Dezvoltatorii ransomware-ului modifică regular directorul unde lucrează, fişierele lăsate şi se gândesc la noi moduri care pot ajuta la infiltrarea cu uşurinţă în calculatoare. În mod curent, virusul exploatează funcţionalitatea pen-testing pentru a localiza reţele vulnerabile şi pentru a le ataca cu ajutorul uneltei de canalizare reGeorg. În plus, alte versiuni ale virusului pot angaja malware de furt a datelor, îl folosesc pentru a colecta credenţiale de autentificare, să obţină privilegii administrative, şi în final, să trimită sarcina utilă maliţioasă în calculator. Astfel de atacuri brutale sunt neprevizibile. Prin urmare, reuşesc să prindă victimele cu garda jos. Din fericire, riscul acestor atacuri poate fi diminuat semnificativ prin implementarea factorului de dublă autentificare, păstrarea programelor actualizate, dezactivarea funcţiei Macro din toate programele Microsoft Office, şi instruirea pentru a recunoaşte email-urile de tip spoofing şi phishing.
Eliminarea lui Samas: mai puţină panică şi mai multă acţiune
Chiar dacă eliminarea manuală a virusului Samas este posibilă, este o procedură extrem de riscantă şi lungă. În plus, deseori virusul se împarte şi îşi împrăştie componentele prin calculatorul infectat, deci este posibil ca articole maliţioase să rămână în calculator chiar dacă infecţia de bază a fost eliminată din dispozitiv. Deci, eliminarea lui Samas ar trebui încredinţată unui anti-malware profesional care poate scana tot sistemul şi să elimine automat fişierele care prezintă un pericol.
Manual de înlăturare a virusului Samas
Înlăturaţi Samas utilizând Safe Mode with Networking
Eliminarea lui Samas poate fi întreruptă de virusul care blochează antivirusul. Din fericire, puteţi decontamina această funcţionalitate maliţioasă urmând aceşti paşi simpli:
-
Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Networking
Windows 7 / Vista / XP- Apăsaţi Start → Shutdown → Restart → OK.
- Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
- Select Safe Mode with Networking from the list
Windows 10 / Windows 8- Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
- Acum selectaţi Troubleshoot → Advanced options → Startup Settings şi în final apăsaţi pe Restart.
- Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Networking din fereastra Startup Settings.
-
Pasul 2: Înlătură Samas
Autentificaţi-vă în contul infectat şi porniţi browserul. Descărcaţi FortectIntego sau un alt program anti-spyware sigur. Actualizaţi-l după care efectuaţi o scanare completă a sistemului şi înlăturaţi fişierele maliţioase care aparţin ransomware-ului şi finalizaţi înlăturarea lui Samas.
În cazul în care ransomware-ul blockează Safe Mode with Networking, încercaţi următoarea metodă.
Înlăturaţi Samas utilizând System Restore
Pentru a elimina ransomware-ul Samas în cazul în care virusul vă blochează accesul către antivirus, urmaţi instrucţiunile oferite aici:
-
Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Command Prompt
Windows 7 / Vista / XP- Apăsaţi Start → Shutdown → Restart → OK.
- Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
- Select Command Prompt from the list
Windows 10 / Windows 8- Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
- Acum selectaţi Troubleshoot → Advanced options → Startup Settings şi în final apăsaţi pe Restart.
- Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Command Prompt din fereastra Startup Settings.
-
Pasul 2: Resetaţi fişierele şi setările sistemului
- Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter.
- Acum tastaţi rstrui.exe şi apăsaţi din nou pe Enter..
- Când apare o fereastră nouă, apăsaţi pe Next şi selectaţi punctul de restaurare care este înaintea infiltrării lui Samas. După ce veţi face acest lucru, apăsaţi Next.
- Acum apăsaţi pe Yes pentru a începe restaurarea sistemului.
Bonus: Recuperaţi-vă datele
Ghidul prezentat mai sus v-ar putea ajuta să eliminaţi Samas din calculatorul dumneavoastră. Pentru a vă recupera fişierele criptate, vă recomandăm să utilizaţi un ghid mai detaliat pregătit de către experţii noştri din securitate, faravirus.ro.Dacă fişierele dumneavoastră au fost criptate de către Samas, puteţi utiliza diverse metode pentru a le recupera:
Care sunt şansele de recuperare a fişierelor criptate de către ransomware-ul Samas utilizând Data Recovery Pro?
Cu toate că şansele de a recupera fişierele criptate de către ransomware-ul Samas sunt slabe, puteţi încerca Data Recovery Pro pentru a recupera măcar câteva din fişiere.
- Descărcare Data Recovery Pro;
- Urmaţi paşii din setările Data Recovery şi instalaţi programul în calculatorul dumneavoastră;
- Lansaţi-l şi scanaţi-vă calculatorul pentru fişierele criptate de către ransomware-ul Samas;
- Recuperaţi-le.
Funcţia Windows Previous Versions poate ajuta la recuperarea fişierelor criptate de Samas
În cazul în care calculatorul dumneavoastră a fost atacat de către Samas, vă sugerăm să încercaţi funcţia Windows Previous Versions pentru a vă recupera fişierele. Reţineţi că dacă funcţia System Restore nu era activă, această funcţie nu va funcţiona.
- Căutaţi un fişier criptat pe care doriţi să îl recuperaţi şi apăsaţi dreapta pe el;
- Selectaţi “Properties” şi mergeţi la fereastra “Previous versions”;
- Aici, verificaţi fiecare copie disponibilă a fişierelui în “Folder versions”. Ar trebui să selectaţi versiunea pe care doriţi să o recuperaţi şi apăsaţi “Restore”.
Recuperarea datelor folosind ShadowExplorer
Din nefericire, ransomware-ul Samas şterge toate copiile din volumul din umbră a fişierelor criptate, în acest mod prevenind recuperarea datelor cu unelte precum Shadow Explorer.
- Descarcă Shadow Explorer (http://shadowexplorer.com/);
- Urmaţi setarea de instalare Shadow Explorer şi instalaţi această aplicaţie în calculatorul dumneavoastră.
- Lansaţi programul şi treceţi prin meniul sus-jos din colţul stânga sus pentru a selecta diskul cu datele criptate. Verificaţi ce dosare se află acolo.
- Apăsaţi dreapta pe dosarul pe care doriţi să îl recuperaţi şi selectaţi “Export”. De asemenea, puteţi selecta locul unde doriţi să îl stocaţi.
Decriptorul Samas
Momentan, decriptorul Samas nu este disponibil, însă ar trebui să verificaţi cu noi mai târziu.
În final, ar trebui să luaţi în considerare tot timpul protecţia împotriva cripto-ransomware-urilor. Pentru a vă proteja calculatorul de Samas precum şi de alte ransomware-uri, utilizaţi un anti-spyware bun, precum FortectIntego, SpyHunter 5Combo Cleaner sau Malwarebytes.