FacebookTwitterLinkedIn

Tox-ransomware

Muita nimiä: Tox virus
Tyyppi: Ransomware
Riskitaso: Vakava

Tox-kiristysohjelman poistaminen

Mikä Tox on?

Tox on kiristysohjelmien tekopaketti, jonka avulla lähes kuka tahansa voi tehdä toimivan kiristysohjelmatartunnan. Ohjelman kehittäneet verkkorikolliset ovat tehneet siitä myös ilmaisen – Toxin rahoitus perustuu siihen, että haittaohjelma ottaa itselleen 30 % kaikista onnistuneista kiristyskampanjoista (70 % jää yhteistyökumppaneille). Kuten muutkin salaukseen pohjautuvat kiristysohjelmat, myös Tox käyttää TOR-verkkoa (sivustojen piilottamiseen) ja Bitcoineja maksuvaluuttana. Tox-kiristysohjelman yhteistyökumppaneiden on ilmoitettava sovelluksen käytön yhteydessä maksettava summa sekä "syy" (viesti, jossa uhreille ilmoitetaan tiedostojen salaamisesta, kunnes vaadittava summa maksetaan). Kiristyshaittaohjelman tekeminen on todella yksinkertaista – Tox-ohjelmapaketti huolehtii onnistuneen tartunnan ja tulojen seurannasta.

Yhteistyökumppanit voivat levittää haittaohjelmaa saastuneiden sähköpostiviestien, turvallisuushaavoittuvuuksien jne. avulla. Onnistuneen asentumisen jälkeen Tox-haittaohjelma salaa käyttäjän koneella olevat tiedostot (.txt, .odt, .doc, .ppt, .jpg, .png, .bmp sekä monet muut) AES-salauksella, minkä jälkeen se avaa ikkunan, jossa ilmoitetaan lunnaita varten perustetun Bitcoin-osoitteen tiedot. Vaikka itse haittaohjelmakoodi vaikuttaakin olevan yksinkertainen ja sisältävän virheitä, ei artikkelin kirjoittamisen aikaan ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan Toxin salaamien tiedostojen salauksen. Hyvä uutinen on se, ettei Tox poista tiedostojen tilannevedoksia – näin ollen uhrit voivat käyttää shadow explorerin kaltaisia palautustyökaluja tiedostojensa palauttamiseen.

tox ransomware virus

Toxin tyyliset kiristysohjelmistotartunnat (kuten cryptowall, cryptolocker tai alphacrypt) ovat erinomainen syy tallennettujen tietojen säännölliseen varmuuskopiointiin. Huomaa, että kiristyshaittaohjelman vaatiman maksun maksaminen vastaa rahan lähettämistä suoraan verkkorikollisille – se tukee rikollista toimintatapaa, eikä tiedostojen salauksen purkamisesta ole silti mitään takeita. Vältä tällaiset ransomware-tartunnat olemalla varovainen avatessasi sähköpostiviestejä, ladatessasi tiedostoja P2P-verkoista jne. Käytä aina luotettavia viruksen- ja haittaohjelmientorjuntaohjelmia.

Toxin lunnasviesti:

Attention - The files in your PC are now encrypted. The only way to have them back, is to pay a file. How to pay - You have to pay the ransom in bitcoins to the address which has been reserved for you. Please not that the value of bitcoins is unstable and may change in the near future. The current amount of bitcoin to pay is 0.64 (75.00$). How to buy bitcoins - 1. register, 2. deposit funds with credit card of bank transfer, 3. withdraw 0.64 bitcoins to address, 4. wait the transaction to be completed (it usually takes less than two hours). 5. if your files are not decrypted automatically, please write to toxsupport(at)sigaint.com with the subject HELP, sending the bitcoin address you paid to. You can also spam this mailbox with useless stuff or wishing me death, so that mail sent from real people who actually need help won’t be read.

Tox-kiristyshaittaohjelman kehittäjien verkkosivusto:

tox-verkkosivusto

Tox-kiristyshaittaohjelman kehittäjien verkkosivustolla oleva teksti:

What is Tox? - We developed a virus which, once opened in a Windows OS, encrypts all the files. Once this process is completed, it displays a message asking to pay a ransom to a bitcoin address to unlock the files. How do I make money with Tox? - You can subscribe (no mail or other shit needed) and create your virus. You will have to decide the ransom to unlock the files. Once you have downloaded your virus, you have to infect people (yes, you can spam the same virus to more people). How? That's your part. The most common practice to spam it as a mail attachment. If you decide to follow this method be sure to zip the file to prevent antivirus and antispam detection. - The most important part: the bitcoin paid by the victim will be credited to your account. We will just keep a 30% fee of the income, so if you specify a 100$ ransom, you will get 70$ and we'll get 30$, isn't this fair?

 

F.A.Q. - Are you serious? - Yes, why not? This is the best way for us to infect a lot of people and make a lot of money. Am I safe? - Sure, as long as you use tor and don't use personally identifiable information: we don't need to know you, and you don't need to know us. The only thing we'll ask you is the bitcoin address to withdraw your part. Are you going to steal my profit? - Nope, why should we? The best way for us to make money is having you helping us. Also, you will be shown the btc address your victims have to pay to, so you'll be sure we're not hiding anything from you. Then why aren't you spreading the virus yourself? We are! But with you, we're going to have a bigger income. Why is the file a .scr? - Because in this way people will not suspect anything (who knows what is a .scr?). If you wish, you can change it to .exe it'll work the same. How does the virus look? - Sexy. The virus has a .src extension (same as .exe files) and it has the icon of a word document, so the victim wont be suspecting anything. Will you actually decrypt the files once the ransom is paid? - Yes, we will. We want people to trust us, so that more people will pay the ransom. How dow I withdraw the money? - In the virus section you can monitor the status of all your viruses. When you have bitcoins to withdraw, just enter your address and press the Withdraw button.

Tox Team -Twitter-tili, jonka avulla kehityspakettia mainostetaan:

tox team -twitter-tili

Tox-kiristysohjelman poistaminen:

Pikavalikko:

1. vaihe

Windows XP ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.

Vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

Windows 8 -käyttäjät: Mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Napsauta "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina "5" käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.

Windows 8 vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

2. vaihe

Kirjaudu sisään tilille, johon Tox on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.

▼ Lataa Tox virus poistotyökalu

Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.

Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:

1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.

Käynnistä tietokoneesi Vikasietotila ja komentorivi -tilaan

2. Kun komentorivitila on latautunut, kirjoita siihen "cd restore" ja paina enteriä.

järjestelmän palautus komentorivin cd restore -komennolla

3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.

järjestelmän palautus komentorivin rstrui.exe-komennolla

4. Napsauta avautuvassa ikkunassa "Seuraava".

järjestelmän tiedostojen ja asetusten palautus

5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa "Seuraava" (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin Tox ei ollut vielä asentunut tietokoneeseen).

valitse palautuspiste

6. Valitse avautuvassa ikkunassa "Kyllä".

suorita järjestelmän palautus

7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet Tox-tiedostot.

Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin Toxin versiot poistavat tiedostojen tilannevedoskopiot, joten menetelmä ei välttämättä toimi kaikilla tietokoneilla.

Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.

CryptoDefensen salaamien tiedostojen palauttaminen

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.

Voit kokeilla myös Shadow Explorer -nimistäohjelmaa saadaksesi Toxin salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.

shadow explorer -kuvakaappaus

Suojaa tietokoneesi salausmenetelmiä käyttäviltä ransomwareilta käyttämällä hyvämaineisia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana käyttäjät voivat ladata HitmanPro.Alert- ja EasySync CryptoMonitor -nimiset ohjelmat, jotka lisäävät rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja Toxin ja vastaavien haittaohjelmien toiminnan estämiseksi.

HitmanPro.Alert CryptoGuard tunnistaa tiedostojen salausyritykset ja estää ne ilman, että käyttäjän tarvitsee tehdä mitään:

hitmanproalert-sovellus estää kiristysohjelmat

EasySync CryptoMonitor pysäyttää salaustartunnan ja estää sen suorittamisen uudelleen:

cryptomonitor-sovellus estää kiristysohjelmat

Muita työkaluja, jotka kykenevät poistamaan Tox-kiristyshaittaohjelman:

Lähde: https://www.pcrisk.com/removal-guides/9052-tox-ransomware

Lisää uusi kommentti

Haittaohjelmien poistoon tarkoitetut oppaamme ovat ilmaisia, mutta voit halutessasi tukea toimintaamme tekemällä lahjoituksen.