Súlyosság:  
  (99/100)

Mamba zsarolóvírus. Hogyan távolítható el? (Eltávolítási útmutató)

írta: Linas Kiguolis - - | Típus: Ransomware-ek

A Mamba ransomware visszatér, vállalati hálózatokat céloz Brazíliában és Szaúd-Arábiában

Mamba ransomware lock screen

 

A Mamba egy fájltitkosító vírus, amely először 2016-ban bukkant fel, mikor San Francisco közlekedési társaságát támadta meg novemberben, melynek során 73.000 dolláros váltságdíjat követelt. 2017 augusztusában a zsarolóvírus visszatért, és több vállalat ellen is támadást indított Brazíliában és Szaúd-Arábiában.

A Mamba ransomware ismert HDD Cryptor néven is. A vizsgálatok szerint hasonló lemeztitkosítási módszert használ, mint a hírhedt Petya vírus. Az új változat azonban felhasználói adatokat titkosít, nem a rendszerbetöltő adatokat, mint a Petya. Ehhez a DiskCryptor szoftvert használja fel.

A jelentések szerint egy 152.exe vagy 141.exe nevű fájlt helyez el a rendszerben, ezek felelnek a titkosítási folyamat kezeléséért. Az áldozat adatainak titkosítása után a vírus újraindítja a számítógépet, majd a következő üzenetet jeleníti meg a betöltési képernyőn:

“You are Hacked ! H.D.D. Encrypted , Contact Us For Decryption Key (w889901665@yandex.com)
YOURID: [az áldozat azonosítója]”

Az áldozat megadhatja a visszafejtési jelszót ezen a képernyőn, de ezt persze először meg kell szereznie. Ehhez kapcsolatba kell lépniük a malware fejlesztőivel, akiktől tájékoztatást kaphatnak az adatvisszaállítás menetéről. A vírus 1 bitcoint követel váltságdíjként, a pénzt a megadott bitcointárcába kell továbbítani.

Mi azonban –mint mindig – azt javasoljuk, hogy NE fizesse ki a váltságdíjat, hiszen semmi sem garantálja, hogy tényleg visszaadják a fájlokat. A legfontosabb teendő a Mamba eltávolítása; ehhez használjon antimalware szoftvert, például: Reimage vagy Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus.

A Mamba ransomware 2017 augusztusában újra támadásba lendült

A Mamba vírus a PSEXEC eszköz segítségével a hálózat minden kliensére telepítheti magát. Ugyanezt láthattuk a NotPetya esetében is. A hálózat fertőzése során mappát készít a C: \xampp\http útvonalon, ide telepíti a DiskCryptor komponenseit. Ez az eszköz felel a ransomware futtatásáért a helyi számítógépen.

Feladata továbbá az egyedi jelszavak létrehozása a hálózat minden számítógépéhez, a következő parancs segítségével:

C: \TEMP\721.exe longPassword /accepteula

A malware egyik legsunyibb tulajdonsága, hogy Windows-szolgáltatásként telepíti magát, és DefragmentationService néven próbál rejtve maradni. LocalSystem jogosultságot is szerez, azaz teljes mértékben irányíthatja a rendszert.

Az előkészítés végére minden kártékony komponens készen áll, ekkor a malware újraindítja a fertőzött rendszert. Ennek során módosítja a fő rendszerindító rekordot (MBR), és hozzálát az adatok titkosításához a DiskCrypot segítségével.

A Mamba titkosítja a partíciókat, majd szokatlan üzenetet jelenít meg. A támadók azt kérik, hogy az áldozat vegye fel velük a kapcsolatot a visszafejtő kulcs ügyében az alábbi e-mail címek valamelyikén:

  • mcrytp2017@yandex.com
  • citrix2234@protonmail.com

Az üzenet tartalmazza az áldozat egyedi azonosítóját is. Ismét hangsúlyozni szeretnénk, hogy jobb, ha nem pocsékolja idejét a támadók felkeresésére; ne hallgasson a követelésekre. Inkább távolítsa el a Mamba vírus egy anitmalware szoftver segítségével, majd állítsa vissza az adatokat biztonsági mentésekből vagy az alternatív adatmentési módszerek segítségével.

A Mamba 2016 novemberében San Francisco közlekedési rendszerét támadta meg

2016 novemberének végén a Mamba ransomware sikeresen bejutott San Francisco vasúti rendszerének kiszolgálóiba, ahol elengedhetetlen adatokat sikerült feltörhetetlenül titkosítania. A jelentések szerint a vírus 2112 számítógépet ért el a 8656-ból, blokkolva ezzel az e-mail-rendszert, a fizetési rendszert és a vasúti ütemezőrendszert is.

A vírus minden számítógépen azonos üzenetet jelenített meg: You hacked, all data encrypted, contact for a key (cryptom27@yandex.ru). Sikerült működésképtelenné tennie a jegykiadó automatákat is.

Sőt, a Mamba malware fejlesztője válaszolt San Francisco néhány újságírójának. Állítása szerint nem tervezte a vasúti rendszer megtámadását, de ha már így alakult, a szervezetnek ki kell fizetnie a 300 bitcoin (73.000 dollár) összegű váltságdíjat a visszafejtő szoftverért.

A fejlesztő az Any Saolis nevet használja, természetesen álnévről van szó. A támadó azt is elmondta, hogy hozzáfért a vállalat privát dokumentumaihoz, amelyeket online közzé fog tenni, ha nem kapja meg a váltságdíjat.

A vállalat azonban már visszaállította a rendszert, és megerősítette, hogy a támadónak valójában nem sikerült érzékeny adatokat szereznie. A váltságdíjat nem fizették ki.

A zsarolóvírus terjedési módjai

A vírus trójai falóként terjed, tehát a felhasználó biztonságos fájlnak gondolva telepíti. Letölthető kártékony e-mailes csatolmányból vagy kártékony szoftverfrissítésből.

Nagyon fontos tehát, hogy elkerülje a kétes letöltőoldalakat és a frissítések azonnali telepítésére ösztönző webes felugró ablakokat. Az ilyen hamis frissítések jellemzően malware-eket rejtenek.

A ransomware fenyegetések emellett exploit kitekkel is terjedhetnek. Ha el szeretné kerülni a ransomware-eket, a következőkre van szükség:

  • védje számítógépét antimalware program telepítésével,
  • készítsen adatairól biztonsági másolatot,
  • kerülje el a gyanús weboldalakat.

A Mamba ransomware eltávolítása

Útmutató a Mamba ransomware eltávolításához
A Mamba vírus eltávolításához azt javasoljuk, hogy telepítsen antimalware szoftvert, például: Reimage vagy Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus. Azért érdemes ilyen szoftvert használnia, mert szakértők készítik őket, akik az egyes vírusok elemzésével készítenek algoritmusokat, amelyekkel a szoftver minden hozzájuk tartozó fájlt azonosíthat és eltávolíthat.

Ha ön nem kifejezetten jártas a területen, ne próbálkozzon a Mamba önálló eltávolításával, mert véletlenül rossz fájlt törölhet, vagy meghagyhatja a vírus komponenseit.

A Mamba vírushoz egyelőre nem sikerült ingyenes visszafejtő programot készíteni, ezért az adatok visszaállításának egyetlen biztos módját korábban elkészített másolatok jelentik.

Kapcsolatban állhatunk az általunk ajánlott termékekkel. Részletes információk a felhasználási feltételeinkben A(z) Mamba zsarolóvírus eltávolításához felkínált anti-spyware szoftverek letöltésével beleegyezik az adatvédelmi irányelveinkbe és a felhasználási feltételeinkbe.
Cselekedjen most!
Letöltöm
Reimage (eltávolító) Elégedettség
Garancia
Letöltöm
Reimage (eltávolító) Elégedettség
Garancia
Kompatibilitás: Microsoft Windows Kompatibilitás: OS X
Mi a teendő, ha nem sikerül?
Ha az ajánlott Reimage nem tudta eltávolítani a fertőzést, a lehető legtöbb részletet megadva küldjön kérdést támogatási csapatunknak.
Reimage ajánlott a(z) Mamba zsarolóvírus eltávolításához. Az ingyenes keresővel ellenőrizhető, hogy a rendszer fertőzött de, de a malware eltávolításához meg kell vásárolni a Reimage malware eltávolító teljes változatát.
A programról további információkat tartalmaz a Reimage leírás.
Reimage a médiában
Mamba zsarolóvírus kép
A Mamba által megtámadott vasútrendszer

Manuális Eltávolítási Útmutató - Mamba vírus:

Mamba eltávolítása ezzel: Safe Mode with Networking

Amennyiben problémái adódtak a Mamba eltávolítása során, kövesse az alábbi lépéseket:

  • Lépés 1: Indítsa a számítógépet Safe Mode with Networking módban

    Windows 7 / Vista / XP
    1. Kattintson a következőre: Start Shutdown Restart OK.
    2. Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
    3. Válassza a listáról a következőt: Safe Mode with Networking Válassza a következőt: 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
    2. Most a következőkre kattintson: Troubleshoot Advanced options Startup Settings, végül pedig ezt nyomja meg: Restart.
    3. Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Networking Válassza a következőt: 'Enable Safe Mode with Networking'
  • Lépés 2: Mamba törlés

    Jelentkezzen be a fertőzött fiókba és indítson egy böngészőt. Töltsön le egy megbízható antispyware programot, például: Reimage. Telepítse, frissítse, majd futtasson vele teljes rendszervizsgálatot és távolítson el minden rosszindulatú fájlt, amely a ransomware-hez tartozik, majd fejezze be a behatoló (Mamba) eltávolítását.

Próbálkozzon másik módszerrel, ha a ransomware blokkolja a következőt: Safe Mode with Networking

Mamba eltávolítása ezzel: System Restore

  • Lépés 1: Indítsa a számítógépet Safe Mode with Command Prompt módban

    Windows 7 / Vista / XP
    1. Kattintson a következőre: Start Shutdown Restart OK.
    2. Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
    3. Válassza a listáról a következőt: Command Prompt Válassza a következőt: 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
    2. Most a következőkre kattintson: Troubleshoot Advanced options Startup Settings, végül pedig ezt nyomja meg: Restart.
    3. Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Command Prompt Válassza a következőt: 'Enable Safe Mode with Command Prompt'
  • Lépés 2: Állítsa vissza a rendszerfájlokat és -beállításokat
    1. Miután megjelent a(z) Command Prompt ablak, írja be, hogy cd restore, majd kattintson arra, hogy Enter. Írja be (idézőjelek nélkül), hogy 'cd restore', majd kattintson arra, hogy 'Enter'.
    2. Most írja be, hogy rstrui.exe, majd kattintson ismét arra, hogy Enter.. Írja be (idézőjelek nélkül), hogy 'rstrui.exe', majd kattintson arra, hogy 'Enter'.
    3. Mikor megjelenik az új ablak, kattintson arra, hogy Next, majd válasszon egy Next fertőzést megelőző visszaállítási pontot. Mikor megjelenik az új 'System Restore' ablak, válassza azt, hogy 'Next' Válassza ki a visszaállítási pontot, majd kattintson arra, hogy 'Next'
    4. A rendszervisszaállítás indításához kattintson arra, hogy Yes. Kattintson arra, hogy 'Yes', és kezdje meg a rendszerindítást
    Miután visszaállította a rendszert egy korábbi pontra, töltse le a Reimage legújabb változatát, és vizsgálja át vele a rendszert, hogy minden Mamba elemtől megszabadulhasson

+1: Az adatok visszaállítása

A fenti útmutató a bejutott Mamba eltávolításában segít. A titkosított fájlok visszaállításához az avirus.hu biztonsági szakértőinek részletes útmutatóját érdemes követnie.

Még nem létezik ingyenes visszafejtő a vírushoz, de ne essen kétségbe, és ne fizesse ki a váltságdíjat, mert lehetséges, hogy a támadók további fertőzést küldenek a visszafejtő mellett vagy helyett, vagy egyszerűen felszívódhatnak. Várhat, ha szeretne – a biztonsági szakértőknek időnként sikerült visszafejtőt készíteniük, ha a ransomware kódja feltörhető. Természetesen visszaállíthat korábbi másolatokat is, de először el kell távolítania a Mamba vírust.

Több módszerrel is megkísérelheti a bejutott Mamba által titkosított fájlok visszaállítását:

A fájlok visszaállítása a Data Recovery Pro segítségével

Ha adatait titkosította a Mamba, próbálkozzon a Data Recovery Pro szoftverrel. Telepítse a következő lépések szerint:

  • Töltse le a következőt: Data Recovery Pro (http://avirus.hu/download/data-recovery-pro-setup.exe);
  • A letöltött Data Recovery telepítőjének lépéseit követve telepítse a szoftvert számítógépére;
  • Indítsa el, és a vizsgálat segítségével gyűjtse össze a bejutott Mamba zsarolóvírus által titkosított fájlokat;
  • Állítsa vissza őket.

A Mamba vírushoz egyelőre nem készült ingyenes visszafejtő program

Fontos törődnie a crypto-ransomware vírusok elleni óvintézkedésekkel. Ha meg szeretné védeni számítógépét az olyan ransomware-ektől, mint a most tárgyalt Mamba, használjon megbízható antispyware programot, például: Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus vagy Malwarebytes Anti Malware

A szerzőről

Linas Kiguolis
Linas Kiguolis

Ha hasznosnak találta ezt az ingyenes útmutatót és elégedett a szolgáltatásunkkal, fontolja meg az adományozást. Ezzel segíthetne nekünk a szolgáltatás életben tartásában. A legkisebb összegért is rendkívül hálásak leszünk!

Üzenet neki: Linas Kiguolis
A vállalatról: Esolutions

Eltávolítási útmutatók más nyelveken