Премахни Mischa вирус (Подобрени инструкции) - авг. 2016 актуализация
Упътване за премахване на Mischa вируси
Какво е Рансъмуерният вирус Mischa?
Рансъмуерът Mischa: злият малък брат на Petya
Рансъмуерният вирус Mischa е нова кибер заплаха, адресирана от своите създатели като „малкия брат“ на вируса Petya, който наскоро стана още по-опасен, използвайки нова тактика за изнудване на инфектираните компютърни потребители. Той инсталира вече споменатият вирус Mischa, ако инфилтрацията на първоначалния рансъмуер е неуспешна, като по този начин се предпазва от неуспех. Ако все още не сте запознати с механиката на рансъмуерните вируси, трябва да знаете, че тези програми инфилтрират компютъра чрез измама и криптират данните там, използвайки алгоритъм, който до ден днешен е непробиваем. Накрая, жертвата поучава бележка, в която намира определена сума пари, която ранъмуерните разработчици изискват в замяна на файловете. Не е препоръчително да следвате тези инструкции, тъй като може да останете без файлове и да бъдете ограбени и от парите си. Вместо това трябва да премахнете вируса от компютъра си незабавно. Мощни антивирусни като FortectIntego могат да Ви помогнат в този процес.
Наскоро създателите на Mischa и Petya са започнали кампания Janus Cybercrime Solutions, която позволява на обикновени потребители да станат съдружници в разпространението на рансъмуер. След като внесе такса за регистрация, потребителят получава име на официален дистрибутор и може да започне да прави пари. Дялът, който съдружниците получават се пресмята в зависимост от парите, които успеят да генерират за седмица. Колкото повече са те, толкова повече печели потребителят. Участването в подобен бизнес очевидно е много опасно и незаконно, но е вероятно някои зли индивиди да се регистрират. Тези инфекции ще станат дори по-опасни. Съветваме да предприемете всички възможни мерки да предпазите системата си, преди да е късно.
Как действа този рансъмуер на инфектирания компютър?
Тъй като механиката на вируса Petya е много по-сложна и изисква придобиването на администраторски права, а да започне зловредният процес, сравнително простият вирус Mischa е много удобен резервен план на вируса Petya. За разлика от Petya, който се нуждае от администраторски права, за да модифицира master boot record (MBR), Mischa просто се инсталира и незабавно започва да сканира за файлове. Този вирус, както и мнозинството друг рансъмуер, се цели към документи, видеа, изображения, архиви, но може и лесно да инфектира приложения, като например .exe файлове. След като се извърши криптирането се добавя файлова екстензия от 4 цифри към всички инфектирани документи и приложения. От тук насетне файловете на компютъра са недостъпни.
Веднага щом потребителят осъзнае, че е загубил достъп до данните си, рансъмуерът оставя документи, именувани като YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT във всяка папка на засегнатото устройство. В тези документи рансъмуерните разработчици посочват своите изисквания. В момента от жертвата се изисква да плати 1.93 биткойна (което се равнява на около 875 долара) за декриптиращ ключ. Въпреки това няма гаранция, че тази сума няма да бъде повишена. След това в бележката следва линк към TOR сайтове, през които жертвата трябва да направи плащането. На потребителят се дава специален код, който трябва да въведе, като плаща откупа. За нещастие няма начин криптираните файлове да бъдат отключени без плащане. Но пращането на пари на неизвестни кибер престъпници не е най-добрата идея също. Най-добрият варинт в този случай е да премахнете вируса Mischa от инфектирания компютър и да възстановите файловете си от бекъп. Може също така да опитате да използвате специални инструменти за възстановяване като Photorec, Kaspersky virus-fighting utilities или R-Studio.
Как може Mischa да инфектира компютъра Ви?
Обикновено зловредото дуо Petya-Mischa се разпространява чрез измамни мейли, които съдържат линк към онлайн облак, съдържащ PDF на предполагаема кандидатура за работа. Реално това не е никаква кандидатура и кликвайки на линка потребителят просто сваля вирусния файл на компютъра си. Веднъж свален, файлът изглежда като обикновен PDF документ. Ако потребителят отвори този файл, зловреден скрипт ще активира вируса и инсталацията ще започне. Първо изпълнимият файл ще опита да инсталира Petya. Ако това не успее да се случи, рансъмуерът Mischa ще се инсталира на компютъра.
Един начин да предотвратите инфекция с рансъмуер е като се снабдите с антивирусна, която Ви предоставядопълнителна защита срещу тези вируси. Също така трябва да сте внимателни с имейлите си. Стойте настрана от „Спам“ папката, тъй като повечето от имейлите там обикновено са зловредни. Трябва винаги да внимавате, като получавате мейли и да следите за граматични грешки, тон и подобни съмнителни характеристики. Най-важното, трябва да правите бекъп на файловете си на външен диск и да го ъпдейтвате редовно. Въпреки това, трябва да Вие предупредим да не оставяте този диск свързан, защото вирусът Mischa лесно може да се свърже и да криптира файловете в преносимия диск.
Препоръки за премахване на Mischa:
Ако сте загубили достъп до файловете си, но не сте готови да платите откуп и по този начин да подкрепите извратените кибер престъпници, единствената разумна опция, която имате, е да премахнете вируса Mischa от компютъра си. За нещастие премахването му няма да Ви върне файловете, но ако искате да продължите да използвате устройството си нормално отново, трябва да го изчистите от всякакви зловредни компоненти. За тази цел трябва да използвате надеждна и добре известна антивирусна. Но помнете, рансъмуерът криптира и приложения, така че антивирусната Ви може да не успее да го премахне. В подобен случай може да опитате да отстраните вируса ръчно като следвате инструкциите за премахване на Mischa, дадени по-долу. Само не забравяйте да сканирате компютъра си, след като премахнете вируса, за да се уверите, че няма остатъци от зловредни файлове на компютъра Ви!
Упътване за ръчно премахване на Mischa вируси
Рансъмуер: Инструкции за премахване на рансъмуер в Безопасен режим (Safe Mode)
Важно! →
Ръководството за ръчно премахване може да се окаже малко сложно за редовите компютърни потребители. Изискват се напреднали IT знания, за да се изпълни правилно (ако липсват или sа повредени важни системни файлове, това може да компрометира цялата операционна система Windows), а самото изпълнение може да отнеме часове. Затова силно препоръчваме да се използва описания по-горе автоматичен метод.
Стъпка 1. Влезте в Безопасен режим с мрежа/Safe Mode with Networking
Ръчното премахване на зловреден софтуер е най-добре да се направи в Безопасен режим/Safe Mode.
Windows 7 / Vista / XP
- Натиснете Start > Shutdown > Restart > OK.
- Когато компютърът ви стане активен, започнете да натискате бутона F8 (ако това не проработи, опитайте с F2, F12, Del и др. – всичко зависи от модела на дънната ви платка) многократно, докато видите прозореца Разширени опции за стартиране/Advanced Boot Options.
- От списъка изберете Безопасен режим с мрежа/Safe Mode with Networking.
Windows 10 / Windows 8
- Кликнете с десен бутон на мишката върху Start бутона и изберете Настройки/Settings.
- Скролнете надолу и изберете Актуализации и Сигурност/ Update & Security.
- В левия край на прозореца изберете Възстановяване/Recovery.
- Скролвате отново надолу, докато откриете Раздел за разширено стартиране/Advanced Startup section.
- Натискате Рестартирай сега/ Restart now.
- Изберете Отстраняване на неизправности/Troubleshoot.
- Отидете в Разширени опции/Advanced options.
- Изберете Настройки при стартиране/Startup Settings.
- Натиснете Рестартиране/Restart.
- Сега натиснете 5 или кликнете върху 5) Активирай Безопасен режим с мрежа/Enable Safe Mode with Networking.
Стъпка 2. Спрете съмнителните процеси
Мениджърът на задачите на Windows (Windows Task Manager) е полезен инструмент, който показва всички процеси, които протичат във фонов режим. Ако има процес, който се управлява от зловреден софтуер, трябва да го спрете:
- На клавиатурата натискате Ctrl + Shift + Esc за да стартирате Мениджъра за задачите/Windows Task Manager.
- Кликвате върху Повече информация/More details.
- Скролвате надолу до раздела Процеси във фонов режим/Background processes и търсите съмнителни процеси.
- С десен бутон на мишката кликвате и избирате Отворете местоположението на файла/Open file location.
- Връщате се обратно при процеса, кликвате с десен бутон и избирате Край на задачата/End Task.
- Изтрийте съдържанието на зловредната папка.
Стъпка 3. Проверете Startup програмите
- Натиснете Ctrl + Shift + Esc на клавиатурата, за да отворите Мениджъра на задачите/Windows Task Manager.
- Отидете в раздела Startup.
- Кликнете с десен бутон върху съмнителната програма и натиснете Деактивирай/Disable.
Стъпка 4. Изтрийте файловете на вируса
Файловете свързани със зловредния софтуер могат да бъдат открити на различни места в компютъра ви. По-долу ще видите инструкции, които ще ви помогнат да ги откриете:
- Напишете Disk Cleanup в полето за търсене на Windows и натиснете Enter.
- Изберете дялът, който искате да почистите (C: е основния ви дял по подразбиране и е много вероятно зловредните файлове да са точно в него).
- Скролнете през списъка с Файлове за изтриване/Files to delete и изберете следните:
Temporary Internet Files/Временни Интернет файлове
Downloads/Изтегляния
Recycle Bin/Кошче
Temporary files/Временни файлове - Изберете Почистете системните файлове/Clean up system files.
- Също така може да потърсите и за още зловредни файлове, скрити в следните папки (напишете ги в търсачката на Windows/Windows Search и натиснете Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
След като приключите, рестартирайте компютъра в нормален режим.
Премахнете Mischa, използвайки System Restore
-
Стъпка 1: Рестартирайте компютъра си, за да Safe Mode with Command Prompt
Windows 7 / Vista / XP- Натиснете Start → Shutdown → Restart → OK.
- Когато компютърър Ви се активира, натиснете F8 няколко пъти, докато видите прозореца Advanced Boot Options
- Изберете Command Prompt от списъка
Windows 10 / Windows 8- Натиснете Power в Windows логин екран. Сега натиснете и задръжте Shift, което е на клавиатурата Ви, и след това натиснете Restart..
- Сега изберете Troubleshoot → Advanced options → Startup Settings и накрая натиснете Restart.
- След като компютърът Ви е активен, изберете Enable Safe Mode with Command Prompt в Startup Settings прозореца.
-
Стъпка 2: Рестартирайте системните си файлове и настройки
- След като се появи Command Prompt прозорец, въведете cd restore и кликнете Enter.
- Сега напишете rstrui.exe и натиснете Enter отново..
- Когато се появи нов екран, натиснете Next и изберете Вашия restore point преди инфекцията с Mischa. След това натиснете Next.
- Сега кликнете Yes, за да започни system restore.
Накрая, винаги трябва да мислите за защита от крипто-рансъмуери. За да защитите компютъра си от Mischa и други рансъмуери, използвайте добър анти спайуер, като например FortectIntego, SpyHunter 5Combo Cleaner или Malwarebytes
Препоръчано за Вас
Не позволявайте на правителството да ви шпионира
Правителствата имат много причини за проследяване на потребителски данни и шпиониране на гражданите, затова е добре да се замислите и да разберете повече за съмнителните практики за събиране на информация. За да избегнете нежелано проследяване или шпиониране, трябва да бъдете напълно анонимни в Интернет.
Може да изберете различно местоположение, когато сте онлайн и имате достъп до желани материали без ограничение на специфично съдържание. Може да се радвате на Интернет връзка без рискове да бъдете хакнати, като използвате VPN услугата Private Internet Access.
Управлявайте информацията, която може да бъде използвана от правителството или трети страни и сърфирайте в мрежата без да бъдете шпионирани. Дори да не участвате в някакви незаконни дейности или се доверявате на избора си на услуги и платформи, имайте едно наум за собствената си сигурност и вземете превантивни мерки като използвате VPN услуга.
Архивиране на файлове в случай на атака на зловреден софтуер
Компютърните потребители могат да понесат различни загуби, които се дължат на кибер инфекции или на техни собствени грешки. Софтуерни проблеми, причинени от зловреден софтуер или загуба на информация, дължаща се на криптиране, могат да доведат до различни последици за устройството ви или дори до непоправими щети. Когато разполагате с адекватни актуални резервни файлове лесно може да се възстановите след подобен инцидент и да се върнете към работата си.
Актуализациите на резервните файлове след всяка промяна в устройството са изключителни важни, за да може да се върнете на точното място, на което сте спрели работа, когато зловреден софтуер или друг проблем с устройството е причинило загуба на информация или е прекъснало работата ви.
Когато разполагате с предишна версия на важен документ или проект, може да избегнете чувството на безсилие и стреса. Доста е полезно в случай на изненадваща зловредна атака. Използвайте Data Recovery Pro за възстановяване на системата.