Súlyosság:  
  (97/100)

Erebus zsarolóvírus. Hogyan távolítható el? (Eltávolítási útmutató)

írta: Julie Splinters - - | Típus: Ransomware-ek

Szervereket célzó Erebus Linux ransomware

Erebus ransomware virus

Az Erebus ransomware egy kártékony program, amely Linux rendszereket, kifejezetten szervergépeket céloz. Más ransomware-ekhez hasonlóan első számú célja, hogy minél több rendszert károsítson, majd váltságdíjat követelhessen a változtatások visszavonásáért. A ransomware első változata az RSA-2048 algoritmussal titkosította a fájlokat, majd .ecrypt kiterjesztést illesztett az érintett fájlokhoz és két üzenetet hagyott hátra: YOUR_FILES_HAS_BEEN_ENCRYPTED.txt és YOUR_FILES_HAS_BEEN_ENCRYPTED.html. A támadók feltört dél-koreai kiszolgálókat használtak a vírus irányítására. Ez a változat több mint 423 különböző fájltípust célzott meg. 

A későbbi változat képes volt a Felhasználói-felügyelet (UAC) kikerülésére, melynek köszönhetően magasabb szintű jogosultságokkal működhetett. A vírus üzenetében szerepelt, hogy ha az áldozat nem fizeti ki a 0,085 bitcoin összegű váltságdíjat 96 órán belül, a titkosított fájlok törlődnek. A frissített változat törölte a rendszer árnyékmásolatait is, nagyon kevés esélyt hagyva ezzel az adatmentésre. Habár a külső tárolón elhelyezett biztonsági másolatokkal visszaállíthatók a ransomware-ek által titkosított fájlok, a helyzet az, hogy nem sokan foglalkoznak a biztonsági mentéssel. Következésképp a zsarolóvírusok bejutása komoly károkat okozhat, az áldozatok pedig elkeseredetten keresgélhetik az adatmentési módszereket. Megelőző intézkedésekre van szüksége mindenkinek tehát, legyen szó Windows, Mac vagy Linux rendszerről. A ransomware-ek eltávolításához mi a kiváló Reimage vagy Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus legújabb változatát ajánljuk. Az Erebus esetén egy Linux rendszerrel kompatibilis szoftverre van szükség.

2017. áprilisi frissítés: Az Erebus vírus fejlődik, kisebb összeget követel

Februárban a biztonsági szakértők az Erebus vírus új változatát azonosították, amely már az AES algoritmus segítségével titkosít, majd a ROT-23 cipher segítségével módosítja a kiterjesztéseket. Ezt követően egy README.html nevű fájlt helyez el az Asztalon. Ez a fájl tartalmazza az adatok visszaállításához szükséges lépéseket. A legtöbb ilyen típusú vírushoz hasonlóan az Erebus is fizetési határidőt szab meg, 96 órát. A támadók jellemzően egyszer használatos e-mail címekkel lépnek kapcsolatba az áldozatokkal, de egyelőre nem tudni, hogy ezt az Erebus fejlesztői is megteszik-e, és visszaadják-e a fájlokat. Ha ön is az Erebus áldozatai közé tartozik, mielőbb lásson hozzá a ransomware eltávolításához.

Az aktuális változat megkerülni a Felhasználói-felügyeletet, azaz kiiktatja a funkciót, amely új programok telepítésekor megerősítést kér a felhasználótól. Ennek köszönhetően a crypotmalware telepítéséhez nincs szükség felhasználói beavatkozásra. A vírus regisztrációs bejegyzéseket is módosít. A működéshez az eventvwr.msc nevű fájlt indítja el. Az EventViewer már nem kötődik az mmc.exe fájlhoz, ezért a vírus egy véletlenszerűen elnevezett állományát indítja el. Mivel az EventViewer adminisztrátorként futhat, a vírus is ilyen jogosultsággal indul el.

Az Erebus ezt követően a http://ipecho.net/plain és a http://ipinfo.io/ címre csatlakozik, hogy azonosítsa az áldozat földrajzi helyzetét. A vírus később a Tor hálózatra is kapcsolódik, hogy elérje a vezérlő kiszolgálót.

Ne becsülje alá a ransomware-t. Az árnyékmásolatokat is törli, így kevés esélyt hagy az adatmentésre. Jelenleg 0,85 BTC-t (kb. 850.000 forint) követel. Végül pedig egy további üzenetet is megjelenít, amely tájékoztatja az áldozatot a történtekről.

Files crypted!
Every important file on this computer was crypted. Please look on your documents or desktop folder for a file called README.html for instructions on how to decrypt them.

2017. júniusi frissítés: Az Erebus malware dél-koreai webtárhely-szolgáltatóra csap le

A malware sikeresen bejutott a Nayana nevű dél-koreai webhosting vállalat rendszerébe, ezzel pedig több ezer weboldalt sikerült megfertőznie. A támadás több száz Linux-kiszolgálót érintett, és óriási váltságdíj követelésére ösztönözte a támadókat: 10 bitcoin, azaz kb. 6,5 millió forint. A támadók később rájöttek, hogy túl sokat kérnek, ezért csökkentették az összeget 5,4 bitcoinra (3,5 millió Ft).

A ransomware adatbázisokat, képeket és videókat is titkosított. A vállalat több jelentést is kiadott honlapján, melyekben bocsánatot kért az esetért és biztosította a felhasználókat, hogy a hatóságok már vizsgálják az ügyet. Mindeközben a Nayana alkalmazottai az ügyfelek megkereséseire válaszolnak és visszaállítják a biztonsági mentéseket. Tudni továbbá, hogy a vállalat alkudni próbálja a váltságdíjat.

 A támadók állítólag számítással próbálták bizonyítani, hogy a vállalat ki tudja fizetni az óriási követelést.

Terjedési módszerek

Más ransomware-fertőzésekkel ellentétben ez a vírus főként malvertising segítségével terjed. Hirdetések mögött rejtőzik, amelyekre meggondolatlanul kattinthatnak rá. Ezt követően olyan domainre kerülnek, amely a RIG exploit kitet rejti. Ha az áldozat a weboldalra kerül, az Erebus másodperceken belül a rendszerbe jut. Ha csökkenteni szeretné a támadások esélyeit, telepítsen megfelelő biztonsági programot. Egy ilyen szoftver jól jön a trójaiak és a kisebb fertőzések (pl. eltérítők) észleléséhez is.

Az Erebus vírus eltávolítása

Az Erebus ransomware eltávolításához antimalware szoftverre van szüksége. Mi a következőket ajánljuk: Reimage és Malwarebytes Anti Malware. Ne feledje, hogy frissítenie kell a választott szoftvert, hogy a vírus minden elemét megtalálhassa. Az eltávolítás után rátérhet az adatmentési lehetőségekre. És nem utolsó sorban: legyen óvatos a beérkező e-mailekkel is, mert rengeteg levél rejt titkosítóvírusokat. Ha naprakész antimalware-t futtat és odafigyel az internetezés közben, jelentősen cöskkentheti nemcsak az Erebus, hanem más ransomware-ek bejutásának esélyeit is.

 

Kapcsolatban állhatunk az általunk ajánlott termékekkel. Részletes információk a felhasználási feltételeinkben A(z) Erebus zsarolóvírus eltávolításához felkínált anti-spyware szoftverek letöltésével beleegyezik az adatvédelmi irányelveinkbe és a felhasználási feltételeinkbe.
Cselekedjen most!
Letöltöm
Reimage (eltávolító) Elégedettség
Garancia
Letöltöm
Reimage (eltávolító) Elégedettség
Garancia
Kompatibilitás: Microsoft Windows Kompatibilitás: OS X
Mi a teendő, ha nem sikerül?
Ha az ajánlott Reimage nem tudta eltávolítani a fertőzést, a lehető legtöbb részletet megadva küldjön kérdést támogatási csapatunknak.
Reimage ajánlott a(z) Erebus zsarolóvírus eltávolításához. Az ingyenes keresővel ellenőrizhető, hogy a rendszer fertőzött de, de a malware eltávolításához meg kell vásárolni a Reimage malware eltávolító teljes változatát.
A programról további információkat tartalmaz a Reimage leírás.
Reimage a médiában

Manuális Eltávolítási Útmutató - Erebus vírus:

Erebus eltávolítása ezzel: Safe Mode with Networking

Egyes titkosítóvírusok lezárják a rendszert vagy megakadályozzák a fontosabb funkciók elérését. Feltehetőleg ez a vírus is ilyen, ez pedig megnehezítheti az eltávolítást. Érdemes követnie tehát az alábbi (Windows-hoz készült) lépéseket.

  • Lépés 1: Indítsa a számítógépet Safe Mode with Networking módban

    Windows 7 / Vista / XP
    1. Kattintson a következőre: Start Shutdown Restart OK.
    2. Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
    3. Válassza a listáról a következőt: Safe Mode with Networking Válassza a következőt: 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
    2. Most a következőkre kattintson: Troubleshoot Advanced options Startup Settings, végül pedig ezt nyomja meg: Restart.
    3. Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Networking Válassza a következőt: 'Enable Safe Mode with Networking'
  • Lépés 2: Erebus törlés

    Jelentkezzen be a fertőzött fiókba és indítson egy böngészőt. Töltsön le egy megbízható antispyware programot, például: Reimage. Telepítse, frissítse, majd futtasson vele teljes rendszervizsgálatot és távolítson el minden rosszindulatú fájlt, amely a ransomware-hez tartozik, majd fejezze be a behatoló (Erebus) eltávolítását.

Próbálkozzon másik módszerrel, ha a ransomware blokkolja a következőt: Safe Mode with Networking

Erebus eltávolítása ezzel: System Restore

Ha az automatikus eltávolítás nem járt sikerrel, próbálkozzon a következő módszerrel.

  • Lépés 1: Indítsa a számítógépet Safe Mode with Command Prompt módban

    Windows 7 / Vista / XP
    1. Kattintson a következőre: Start Shutdown Restart OK.
    2. Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
    3. Válassza a listáról a következőt: Command Prompt Válassza a következőt: 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
    2. Most a következőkre kattintson: Troubleshoot Advanced options Startup Settings, végül pedig ezt nyomja meg: Restart.
    3. Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Command Prompt Válassza a következőt: 'Enable Safe Mode with Command Prompt'
  • Lépés 2: Állítsa vissza a rendszerfájlokat és -beállításokat
    1. Miután megjelent a(z) Command Prompt ablak, írja be, hogy cd restore, majd kattintson arra, hogy Enter. Írja be (idézőjelek nélkül), hogy 'cd restore', majd kattintson arra, hogy 'Enter'.
    2. Most írja be, hogy rstrui.exe, majd kattintson ismét arra, hogy Enter.. Írja be (idézőjelek nélkül), hogy 'rstrui.exe', majd kattintson arra, hogy 'Enter'.
    3. Mikor megjelenik az új ablak, kattintson arra, hogy Next, majd válasszon egy Next fertőzést megelőző visszaállítási pontot. Mikor megjelenik az új 'System Restore' ablak, válassza azt, hogy 'Next' Válassza ki a visszaállítási pontot, majd kattintson arra, hogy 'Next'
    4. A rendszervisszaállítás indításához kattintson arra, hogy Yes. Kattintson arra, hogy 'Yes', és kezdje meg a rendszerindítást
    Miután visszaállította a rendszert egy korábbi pontra, töltse le a Reimage legújabb változatát, és vizsgálja át vele a rendszert, hogy minden Erebus elemtől megszabadulhasson

+1: Az adatok visszaállítása

A fenti útmutató a bejutott Erebus eltávolításában segít. A titkosított fájlok visszaállításához az avirus.hu biztonsági szakértőinek részletes útmutatóját érdemes követnie.

A Linux rendszereken lezárt fájlokat sajnos csak biztonsági mentésekből lehet visszaállítani. Ha nem készített ilyesmit, nincs módja az adatmentésre.


Több módszerrel is megkísérelheti a bejutott Erebus által titkosított fájlok visszaállítását:

Egyelőre nem létezik Erebus visszafejtő szoftver

Fontos törődnie a crypto-ransomware vírusok elleni óvintézkedésekkel. Ha meg szeretné védeni számítógépét az olyan ransomware-ektől, mint a most tárgyalt Erebus, használjon megbízható antispyware programot, például: Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus vagy Malwarebytes Anti Malware

A szerzőről

Julie Splinters
Julie Splinters - Malware-eltávolítási specialista

Ha hasznosnak találta ezt az ingyenes útmutatót és elégedett a szolgáltatásunkkal, fontolja meg az adományozást. Ezzel segíthetne nekünk a szolgáltatás életben tartásában. A legkisebb összegért is rendkívül hálásak leszünk!

Üzenet neki: Julie Splinters
A vállalatról: Esolutions

Forrás: https://www.2-spyware.com/remove-erebus-ransomware-virus.html

Eltávolítási útmutatók más nyelveken