√ Ghas (.ghas) ransomware virus & cara memulihkannya
Bagaimana memulihkan file Ransomware Jenis .Ghas - Setelah diluncurkan ke mesin uji kami, ransomware ini mulai mengenkripsi file dan menambahkan nama filenya dengan ekstensi ".ghas".
Bagaimana memulihkan file Ransomware Jenis .Ghas |
Apa itu Ransomware Ghas?
Selama pemeriksaan rutin pengiriman VirusTotal, tim peneliti kami menemukan program jenis ransomware lain milik keluarga Djvu . Program tersebut bernama - Ghas.
Setelah diluncurkan ke mesin uji kami, ransomware ini mulai mengenkripsi file dan menambahkan nama filenya dengan ekstensi " .ghas ". Untuk menguraikan, file yang awalnya berjudul " 1.jpg " muncul sebagai " 1.jpg.ghas ", " 2.png " sebagai " 2.png.ghas ", dan seterusnya untuk semua file yang terpengaruh. Setelah itu, Ghas membuat file teks - " _readme.txt " - yang berisi catatan tebusan.
Tangkapan layar file yang dienkripsi oleh ransomware Ghas:
Ikhtisar ransomware Ghas
Catatan Ghas memberi tahu para korban bahwa data mereka telah dienkripsi namun meyakinkan mereka bahwa pemulihan dapat dilakukan. Pesan tersebut menyatakan bahwa kunci/program dekripsi harus dibeli dari penyerang seharga 980 USD. Jika korban memulai kontak dengan penjahat cyber dalam 72 jam pertama, uang tebusan akan dikurangi 50% (490 USD). Selain itu, dekripsi dapat diuji dengan mengirimkan penjahat satu file terenkripsi (yang tidak berisi data berharga).
Kami telah meneliti dan menganalisis ribuan infeksi ransomware - pengalaman ini memungkinkan kami untuk menyimpulkan bahwa dekripsi biasanya tidak mungkin dilakukan tanpa keterlibatan penyerang. Selain itu, meskipun membayar - korban sering tidak menerima alat dekripsi yang dijanjikan. Oleh karena itu,kami menyarankan agar tidak memenuhi tuntutan tebusan dan dengan demikian mendukung kegiatan kriminal.
Menghapus ransomware Ghas dari sistem operasi akan menghentikannya mengenkripsi lebih banyak file. Namun, penghapusan tidak akan memulihkan data yang sudah disusupi. Satu-satunya solusi adalah memulihkan file dari cadangan (jika tersedia).
Kami sangat menyarankan untuk menyimpan cadangan di beberapa lokasi berbeda (misalnya, server jarak jauh, perangkat penyimpanan yang dicabut, dll.) - untuk memastikan keamanan data.Kami sangat menyarankan untuk menyimpan cadangan di beberapa lokasi berbeda (misalnya, server jarak jauh, perangkat penyimpanan yang dicabut, dll.) - untuk memastikan keamanan data.Kami sangat menyarankan untuk menyimpan cadangan di beberapa lokasi berbeda (misalnya, server jarak jauh, perangkat penyimpanan yang dicabut, dll.) - untuk memastikan keamanan data.
Contoh Ransomware
Hajd , Bozon , Bomber , dan Erinalexralf hanyalah beberapa contoh ransomware yang telah kami analisis. Malware jenis ini mengenkripsi data dan menuntut pembayaran untuk dekripsi. Namun, program jenis ransomware memiliki dua perbedaan signifikan di antara keduanya - algoritme kriptografi yang mereka gunakan ( simetris atau asimetris ) dan ukuran tebusan.
Bagaimana ransomware menginfeksi komputer saya?
Ransomware dan malware lainnya sebagian besar menyebar menggunakan taktik phishing dan rekayasa sosial. Metode distribusi yang paling umum meliputi: unduhan drive-by (diam-diam dan menipu), penipuan online, lampiran/tautan berbahaya dalam email dan pesan spam, situs unduhan freeware dan pihak ketiga, jaringan berbagi P2P (misalnya, klien Torrent, eMule, dll. .), alat aktivasi program ilegal ("retak"), dan pembaruan palsu.
Perangkat lunak berbahaya biasanya disajikan sebagai atau dibundel dengan program/media biasa. File menular dapat dalam berbagai format, misalnya, arsip, file yang dapat dieksekusi, dokumen Microsoft Office dan PDF, JavaScript, dll. Unduhan/instalasi malware akan dimulai saat file tersebut dibuka.
Bagaimana melindungi diri Anda dari infeksi ransomware?
Sangat penting untuk menginstal dan memperbarui anti-virus yang memiliki reputasi baik. Program keamanan harus digunakan untuk melakukan pemindaian sistem secara teratur dan untuk menghapus ancaman yang terdeteksi. Jika komputer Anda sudah terinfeksi Ghas, sebaiknya jalankan pemindaian dengan Combo Cleaner Antivirus untuk Windows untuk menghilangkan ransomware ini secara otomatis.Tangkapan layar file teks ransomware Ghas (" _readme.txt "):
Selain itu, Emsisoft kini menyediakan layanan yang memungkinkan untuk mendekripsi data (sekali lagi, hanya jika dienkripsi oleh varian Djvu yang dirilis sebelum Agustus 2019) bagi para korban yang memiliki sepasang file yang sama sebelum dan sesudah enkripsi. Yang harus dilakukan korban adalah mengunggah sepasang file asli dan terenkripsi ke halaman dekripsi Djvu Emsisoft dan mengunduh alat dekripsi yang disebutkan di atas (tautan unduhan akan diberikan setelah mengunggah file).
Perhatikan bahwa pemrosesan file mungkin memakan waktu, jadi bersabarlah. Perlu juga disebutkan bahwa sistem harus memiliki koneksi Internet selama seluruh proses dekripsi, jika tidak maka akan gagal.
Beberapa korban menyatakan bahwa mereka telah berhasil memulihkan sebagian data terenkripsi menggunakan alat PhotoRec yang dikembangkan oleh CGSecurity (Christophe Grenier) . Anda dapat mengunduh alat ini dari situs web resmi CGSecurity .
Sekarang perlu dicatat bahwa Djvu ransomware tidak mengenkripsi seluruh file. Sebaliknya, itu hanya mengenkripsi sebagian (awal) file, sehingga membuatnya tidak dapat digunakan. Untungnya, dalam beberapa kasus dimungkinkan untuk memulihkan bagian lain dari file, yang tidak dienkripsi. Ini berguna untuk file audio/video, karena meskipun bagian awal tidak dapat dipulihkan, Anda masih dapat menggunakannya sebagian besar.
Untuk memulihkan data audio/video, kami menyarankan Anda untuk menggunakan alat Media_Repair yang dikembangkan oleh DiskTuna. Alat ini sangat sederhana dan sepenuhnya gratis. Anda dapat menemukan panduan pengguna serta mengunduh alat ini langsung dari situs web DiskTuna .
Perusahaan G DATA juga telah merilis "vaksin" yang mampu mencegah ransomware Djvu mengenkripsi data. Ini tidak berarti bahwa malware tidak akan dapat memasuki sistem atau melakukan tindakan lain (misalnya, mengubah pengaturan sistem). Namun, enkripsi akan tetap dicegah. Anda dapat mengunduh alat vaksinasi dari halaman GitHub ini .
Langkah reproduksi jika kalian terkena Ramsomware dan bagaimana Mencegah Ramsomware datang
Mengisolasi perangkat yang terinfeksi:
Langkah 1: Putuskan sambungan dari internet.
Klik kanan pada setiap titik koneksi dan pilih " Nonaktifkan ". Setelah dinonaktifkan, sistem tidak akan lagi terhubung ke internet. Untuk mengaktifkan kembali titik koneksi, cukup klik kanan lagi dan pilih " Aktifkan ".
Langkah 2: Cabut semua perangkat penyimpanan.
Langkah 3: Log-out dari akun penyimpanan cloud.
Beberapa jenis ransomware mungkin dapat membajak perangkat lunak yang menangani data yang disimpan dalam " Cloud ". Oleh karena itu, data dapat rusak/terenkripsi. Untuk alasan ini, Anda harus keluar dari semua akun penyimpanan cloud di dalam browser dan perangkat lunak terkait lainnya. Anda juga harus mempertimbangkan untuk menghapus sementara perangkat lunak manajemen cloud sampai infeksi benar-benar hilang.
Identifikasi infeksi ransomware:
Untuk menangani infeksi dengan benar, pertama-tama seseorang harus mengidentifikasinya. Beberapa infeksi ransomware menggunakan pesan permintaan tebusan sebagai pengantar (lihat file teks ransomware WALDO di bawah).
Namun, ini jarang terjadi. Dalam kebanyakan kasus, infeksi ransomware mengirimkan lebih banyak pesan langsung yang hanya menyatakan bahwa data dienkripsi dan bahwa korban harus membayar sejumlah uang tebusan. Perhatikan bahwa infeksi jenis ransomware biasanya menghasilkan pesan dengan nama file yang berbeda (misalnya, " _readme.txt ", " READ-ME.txt ", " DECRYPTION_INSTRUCTIONS.txt ", " DECRYPT_FILES.html", dll.). Oleh karena itu, menggunakan nama pesan tebusan mungkin tampak seperti cara yang baik untuk mengidentifikasi infeksi. Masalahnya adalah sebagian besar nama ini generik dan beberapa infeksi menggunakan nama yang sama, meskipun pesan yang dikirimkan adalah berbeda dan infeksi itu sendiri tidak terkait. Oleh karena itu,menggunakan nama file pesan saja dapat menjadi tidak efektif dan bahkan menyebabkan hilangnya data permanen (misalnya, dengan mencoba mendekripsi data menggunakan alat yang dirancang untuk infeksi ransomware yang berbeda, pengguna cenderung berakhir merusak secara permanen file dan dekripsi tidak akan mungkin lagi bahkan dengan alat yang benar).
Cara lain untuk mengidentifikasi infeksi ransomware adalah dengan memeriksa ekstensi file, yang ditambahkan ke setiap file terenkripsi. Infeksi Ransomware sering dinamai dengan ekstensi yang mereka tambahkan (lihat file yang dienkripsi oleh Qewe ransomware di bawah).pengguna cenderung berakhir merusak secara permanen file dan dekripsi tidak akan mungkin lagi bahkan dengan alat yang benar).
Metode ini hanya efektif, namun, jika ekstensi yang ditambahkan unik - banyak infeksi ransomware menambahkan ekstensi generik (misalnya, " .encrypted ", " .enc ", " .crypted ", " .locked ", dll.). Dalam kasus ini, mengidentifikasi ransomware dengan ekstensi yang ditambahkan menjadi tidak mungkin.
Salah satu cara termudah dan tercepat untuk mengidentifikasi infeksi ransomware adalah dengan menggunakan situs web ID Ransomware . Layanan ini mendukung sebagian besar infeksi ransomware yang ada. Korban cukup mengunggah pesan tebusan dan/atau satu file terenkripsi (kami menyarankan Anda untuk mengunggah keduanya jika memungkinkan).
Ransomware akan diidentifikasi dalam hitungan detik dan Anda akan diberikan berbagai detail, seperti nama keluarga malware yang terinfeksi, apakah dapat didekripsi, dan sebagainya.
Contoh 1 (Qewe [Stop/Djvu] ransomware):
Jika data Anda dienkripsi oleh ransomware yang tidak didukung oleh ID Ransomware, Anda selalu dapat mencoba mencari di internet dengan menggunakan kata kunci tertentu (misalnya, judul pesan tebusan, ekstensi file, email kontak yang disediakan, alamat dompet kripto, dll. ).
Cari alat dekripsi ransomware:
Algoritme enkripsi yang digunakan oleh sebagian besar infeksi jenis ransomware sangat canggih dan, jika enkripsi dilakukan dengan benar, hanya pengembang yang mampu memulihkan data. Ini karena dekripsi memerlukan kunci tertentu, yang dihasilkan selama enkripsi. Memulihkan data tanpa kunci tidak mungkin. Dalam kebanyakan kasus, penjahat dunia maya menyimpan kunci di server jauh, daripada menggunakan mesin yang terinfeksi sebagai host. Dharma (CrySis), Phobos, dan keluarga infeksi ransomware kelas atas lainnya hampir sempurna, dan dengan demikian memulihkan data yang dienkripsi tanpa keterlibatan pengembang sama sekali tidak mungkin. Meskipun demikian, ada lusinan infeksi jenis ransomware yang kurang berkembang dan mengandung sejumlah kelemahan (misalnya,penggunaan kunci enkripsi/dekripsi yang identik untuk setiap korban, kunci yang disimpan secara lokal, dll.).
Menemukan alat dekripsi yang benar di internet bisa sangat membuat frustrasi. Untuk alasan ini, kami menyarankan Anda menggunakan Proyek Tidak Ada Lagi Tebusan dan di sinilah mengidentifikasi infeksi ransomware berguna. Situs web Proyek Tidak Ada Lagi Tebusan berisi bagian " Alat Dekripsi " dengan bilah pencarian. Masukkan nama ransomware yang teridentifikasi, dan semua decryptors yang tersedia (jika ada) akan terdaftar.Situs web Proyek Tidak Ada Lagi Tebusan berisi bagian " Alat Dekripsi " dengan bilah pencarian. Masukkan nama ransomware yang teridentifikasi, dan semua decryptors yang tersedia (jika ada) akan terdaftar.Situs web Proyek Tidak Ada Lagi Tebusan berisi bagian " Alat Dekripsi " dengan bilah pencarian. Masukkan nama ransomware yang teridentifikasi, dan semua decryptors yang tersedia (jika ada) akan terdaftar.
Pulihkan file dengan alat pemulihan data:
Tergantung pada situasinya (kualitas infeksi ransomware, jenis algoritme enkripsi yang digunakan, dll.), pemulihan data dengan alat pihak ketiga tertentu mungkin dapat dilakukan. Oleh karena itu, kami menyarankan Anda untuk menggunakan alat Recuva yang dikembangkan oleh CCleaner . Alat ini mendukung lebih dari seribu tipe data (grafik, video, audio, dokumen, dll.) dan sangat intuitif (sedikit pengetahuan diperlukan untuk memulihkan data). Selain itu, fitur pemulihan sepenuhnya gratis.
Buat cadangan data:
Manajemen file yang tepat dan membuat cadangan sangat penting untuk keamanan data. Karena itu, selalu sangat berhati-hati dan berpikir ke depan.
Manajemen partisi: Kami menyarankan Anda menyimpan data Anda di beberapa partisi dan menghindari menyimpan file penting di dalam partisi yang berisi seluruh sistem operasi. Jika Anda jatuh ke dalam situasi di mana Anda tidak dapat mem-boot sistem dan terpaksa memformat disk tempat sistem operasi diinstal (dalam banyak kasus, ini adalah tempat bersembunyinya infeksi malware), Anda akan kehilangan semua data yang tersimpan di dalam drive itu. Ini adalah keuntungan memiliki beberapa partisi: jika Anda memiliki seluruh perangkat penyimpanan yang ditetapkan ke satu partisi, Anda akan dipaksa untuk menghapus semuanya, namun, membuat beberapa partisi dan mengalokasikan data dengan benar memungkinkan Anda untuk mencegah masalah seperti itu. Anda dapat dengan mudah memformat satu partisi tanpa mempengaruhi yang lain - oleh karena itu,satu akan dibersihkan dan yang lain tidak akan tersentuh, dan data Anda akan disimpan.Halaman web dokumentasi Microsoft
Pencadangan data: Salah satu metode pencadangan yang paling andal adalah menggunakan perangkat penyimpanan eksternal dan tetap mencabutnya. Salin data Anda ke hard drive eksternal, flash (thumb) drive, SSD, HDD, atau perangkat penyimpanan lainnya, cabut dan simpan di tempat yang kering jauh dari matahari dan suhu ekstrim. Namun, cara ini cukup tidak efisien, karena pencadangan dan pembaruan data perlu dilakukan secara berkala. Anda juga dapat menggunakan layanan cloud atau server jarak jauh. Di sini, koneksi internet diperlukan dan selalu ada kemungkinan pelanggaran keamanan, meskipun ini sangat jarang terjadi.
Sebaiknya gunakan Microsoft OneDrive untuk mencadangkan file Anda. OneDrive memungkinkan Anda menyimpan file dan data pribadi di awan, menyinkronkan file di seluruh komputer dan perangkat seluler,memungkinkan Anda mengakses dan mengedit file dari semua perangkat Windows Anda. OneDrive memungkinkan Anda menyimpan, berbagi, dan mempratinjau file, mengakses riwayat unduhan, memindahkan, menghapus, dan mengganti nama file, serta membuat folder baru, dan banyak lagi.
Anda dapat mencadangkan folder dan file terpenting di PC (folder Desktop, Dokumen, dan Gambar). Beberapa fitur OneDrive yang lebih menonjol mencakup pembuatan versi file, yang menyimpan versi file yang lebih lama hingga 30 hari. OneDrive memiliki fitur keranjang daur ulang di mana semua file Anda yang dihapus disimpan untuk waktu yang terbatas. File yang dihapus tidak dihitung sebagai bagian dari alokasi pengguna.
Layanan ini dibuat menggunakan teknologi HTML5 dan memungkinkan Anda untuk mengunggah file hingga 300 MB melalui drag and drop ke browser web atau hingga 10 GB melalui aplikasi desktop OneDrive . Dengan OneDrive, Anda dapat mengunduh seluruh folder sebagai satu file ZIP dengan hingga 10.000 file, meskipun tidak dapat melebihi 15 GB per unduhan tunggal. .
OneDrive hadir dengan penyimpanan gratis sebesar 5 GB, dengan opsi penyimpanan tambahan 100 GB, 1 TB, dan 6 TB tersedia dengan biaya berbasis langganan. Anda bisa mendapatkan salah satu dari paket penyimpanan ini dengan membeli penyimpanan tambahan secara terpisah atau dengan langganan Office 365
Membuat cadangan data:
Proses pencadangan sama untuk semua jenis file dan folder. Inilah cara Anda dapat mencadangkan file Anda menggunakan Microsoft OneDrive
Langkah 1: Pilih file/folder yang ingin Anda backup.
Klik ikon awan OneDrive untuk membuka menu OneDrive . Saat berada di menu ini, Anda dapat menyesuaikan pengaturan pencadangan file Anda.
Klik Bantuan & Pengaturan lalu pilih Pengaturan dari menu tarik-turun.
Buka tab Cadangan dan klik Kelola cadangan .
Di menu ini, Anda dapat memilih untuk mencadangkan Desktop dan semua file di dalamnya, dan folder Dokumen dan Gambar , sekali lagi, dengan semua file di dalamnya. Klik Mulai pencadangan .
Sekarang, ketika Anda menambahkan file atau folder di folder Desktop dan Dokumen dan Gambar, mereka akan dicadangkan secara otomatis di OneDrive.
Untuk menambahkan folder dan file, bukan di lokasi yang ditunjukkan di atas, Anda harus menambahkannya secara manual.
Buka File Explorer dan arahkan ke lokasi folder/file yang ingin Anda backup. Pilih item, klik kanan , dan klik Salin/ copy.
Kemudian, navigasikan ke OneDrive, klik kanan di mana saja di jendela dan klik Paste . Atau, Anda cukup menarik dan melepas file ke OneDrive. OneDrive akan secara otomatis membuat cadangan folder/file.
Semua file yang ditambahkan ke folder OneDrive dicadangkan di cloud secara otomatis. Lingkaran hijau dengan tanda centang di dalamnya menunjukkan bahwa file tersedia baik secara lokal maupun di OneDrive dan versi file sama di keduanya. Ikon awan biru menunjukkan bahwa file belum disinkronkan dan hanya tersedia di OneDrive. Ikon sinkronisasi menunjukkan bahwa file sedang disinkronkan.
Untuk mengakses file yang hanya terletak di OneDrive online, buka menu tarik-turun Bantuan & Pengaturan dan pilih Lihat online .
Langkah 2: Kembalikan file yang rusak.
OneDrive memastikan bahwa file tetap sinkron, sehingga versi file di komputer adalah versi yang sama di cloud. Namun, jika ransomware telah mengenkripsi file Anda, Anda dapat memanfaatkan fitur Riwayat Versi OneDrive yang memungkinkan Anda memulihkan versi file sebelum enkripsi .
Microsoft 365 memiliki fitur deteksi ransomware yang memberi tahu Anda saat file OneDrive Anda diserang dan memandu Anda melalui proses pemulihan file. Namun, harus diperhatikan bahwa jika Anda tidak memiliki langganan Microsoft 365 berbayar, Anda hanya mendapatkan satu deteksi dan pemulihan file secara gratis.
Jika file OneDrive Anda terhapus, rusak, atau terinfeksi malware, Anda dapat memulihkan seluruh OneDrive ke kondisi sebelumnya. Inilah cara Anda dapat memulihkan seluruh OneDrive Anda:
Posting Komentar untuk "√ Ghas (.ghas) ransomware virus & cara memulihkannya"