Αφαίρεση ιού Nozelesn (Εγχειριδίου Οδηγιών Αφαίρεσης) - Ιούλ 2018 ενημέρωση

Τι είναι το Nozelesn ransomware?

Nozelesn ransomware – Ιός κρυπτογράφησης (cryptovirus) που μπορεί να διεισδύσει 'αόρατα' στο σύστημα μέσω ψευδών DHL emails

Ο Nozelesn ransomware είναι ένας ιός που οι developers του ανέπτυξαν για κερδοσκοπικούς λόγους εις βάρος ανυποψίαστων χρηστών. Οι ειδικοί σε θέματα διαδικτυακής ασφάλειας συστημάτων διαπίστωσαν ότι ο ιός εξαπλώνεται διαδικτυακά μέσω spam email επισυνάψεων με τη μορφή ψευδών/παραπλανητικών DHL τιμολογίων και στοχοποιεί χρήστες που βρίσκονται στην Πολωνία.

Μόλις καταφέρει να διεισδύσει στο σύστημα-στόχο, το malware προβαίνει σε σάρωση συστήματος για εντοπισμό βίντεο, φώτο, audio αρχείων, βάσεων δεδομένων, κι άλλων ειδών προσωπικά αρχεία. Κατόπιν, προβαίνει σε κρυπτογράφηση των αρχείων με τη χρήση AES αλγόριθμου κρυπτογράφησης. Κάθε αρχείο που κρυπτογραφείται αποκτάει .nozelesn κακόβουλη επέκταση αρχείου, αχρηστοποιείται, και μπλοκάρεται η πρόσβαση του χρήστη σ' αυτό. Μόλις ολοκληρωθεί και η διαδικασία της κρυπτογράφησης, ο ιός Nozelesn εμφανίζει σημείωμα λύτρων με όνομα HOW_FIX_NOZELESN_FILES.htm το οποίο επεξηγεί αναλυτικά στον χρήστη-θύμα ότι πρέπει να πληρώσει λύτρα αξίας 0.1BTC μέσω Tor web browser ώστε να αποκρυπτογραφήσει και να επανακτήσει πρόσβαση στα κρυπτογραφημένα αρχεία και τις βάσεις δεδομένων του.

To μήνυμα από τους developers του ιού Nozelesn virus επεξηγεί αναλυτικά στον χρήστη-θύμα τι έγινε ακριβώς στον υπολογιστή του, καθώς και πώς μπορεί να ανακτήσει τα κρυπτογραφημένα αρχεία του. Οι κυβερνο-εγκληματίες ζητούν από τον χρήστη-θύμα να κατεβάσει τον TOR borwser, να συνδεθεί στον server πληρωμών lyasuvlsarvrlyxz.onion χρησιμοποιώντας τον μοναδικό προσωπικό κωδικό, και να λάβει περαιτέρω οδηγίες.

Μόλις ο χρήστης-θύμα συνδεθεί στο “Nozelesn decryption cabinet,” θα του εμφανιστούν περαιτέρω οδηγίες και θα του γνωστοποιηθεί ότι πρέπει να πληρώσει ως λύτρα 0.1 BTC (περίπου $657). Μόλις ολοκληρώσει τη συναλλαγή, θα πρέπει να αντιγράψει και να επικολλήσει σε ειδικό πεδίο το ID της συναλλαγής. Όταν ολοκληρωθεί κι αυτή η φάση, οι hackers υπόσχονται στον χρήστη-θύμα ότι θα του σταλθεί λογισμικό αποκρυπτογράφησης εντός 10 ημερών. Ωστόσο, στην περίπτωση που βρεθείς σ' αυτή την πολύ δυσάρεστη θέση, σε συμβουλεύουμε να μη κάνεις αυτά που θα σου ζητούν οι κυβερνο-απατεώνες, αλλά, αντίθετα, θα πρέπει να προβείς άμεσα σε ολοκληρωτική αφαίρεση του ιού Nozelesn virus. Μόλις το κάνεις, μπορείς να προσπαθήσεις να ανακτήσεις τα κρυπτογραφημένα αρχεία σου με κάποια από τις διαθέσιμες εναλλακτικές ανάκτησης κρυπτογραφημένων αρχείων.

Στο ενημερωτικό σημείωμα που εμφανίζει ο συγκεκριμένος ιός ransomware, περιλαμβάνεται το εξής κείμενο:

All files including videos, photos and documents on your computer are encrypted by nozelesn ransomware.
File decryption costs money.
In order to decrypt the files, you need to perform the following steps:
1. you should download and install this browser hxxp://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: lyasuvlsarvrlyxz.onion
3. Follow the instruction on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
Guaranteed recovery is provided within 10 days.
IMPORTANT INFORMATION
You should enter the personal code on the tor site.

Όπως μπορείς να διαπιστώσεις, οι developers του ιού θα προσπαθήσουν να σε πείσουν να ακολουθήσεις πιστά τις οδηγίες τους και να πληρώσεις τα λύτρα το συντομότερο δυνατόν ώστε να μπορέσεις να ανακτήσεις τα κρυπτογραφημένα αρχεία σου. Ωστόσο, πολλοί ειδικοί σε θέματα διαδικτυακής ασφάλειας συστημάτων συμβουλεύουν τους χρήστες-θύματα να ΜΗΝ ακολουθήσουν τις οδηγίες των hackers. Το κύριο μέλημα θα πρέπει να είναι η άμεση και ολοκληρωτική αφαίρεση του ιού Nozelesn ransomware, τότε και μόνο τότε θα πρέπει να υπάρξουν προσπάθειες για την ανάκτηση των κρυπτογραφημένων αρχείων. ΜΗΝ κάνεις το λάθος και πληρώσεις τα λύτρα και ΜΗΝ έρθεις σε επικοινωνία με τους κυβερνο-εγκληματίες.

Οι developers ιών ransomware συνηθίζουν να χρησιμοποιούν δημοφιλή ονόματα, λογότυπα εταιρειών, κτλ., ώστε να τραβήξουν την προσοχή των δυνητικών χρηστών-θυμάτων και εν τέλει να τους πείσουν να ανοίξουν τις κακόβουλες επισυνάψεις. Ο συγκεκριμένος ιός δεν αποτελεί εξαίρεση. Οι ειδικοί σε θέματα διαδικτυακής ασφάλειας συστημάτων της CERT_Polska επιβεβαίωσαν ότι το συγκεκριμένο malware εξαπλώνεται διαδικτυακά μέσω phishing emails τα οποία φαίνονται λες κι έχουν σταλθεί από την Πολωνική DHL:

It seems that the delivery method was through a spam campaign with fake DHL invoice.

Επομένως, θέλει μεγάλη προσοχή ώστε να μην εκθέσεις το σύστημα και τα πολύτιμα προσωπικά αρχεία σου σε κυβερνο-επιθέσεις hackers με επικίνδυνα malware, όπως πχ. οι ιοί ransomware. Στην περίπτωση που διαπιστώσεις ότι τα αρχεία σου απέκτησαν την .nozelesn κακόβουλη επέκταση αρχείου, μην πανικοβληθείς. Για να απαλλαγείς από τον ιό ransomware θα πρέπει να προβείς σε σάρωση συστήματος χρησιμοποιώντας ένα πλήρως ενημερωμένο κι αξιόπιστο λογισμικό ασφαλείας (προτείνουμε RestoroIntego ή Malwarebytes). Μόλις εξουδετερωθεί ο ιός, μπορείς να τσεκάρεις τις εναλλακτικές επιλογές σου για ανάκτηση των κρυπτογραφημένων αρχείων.

Απ' όσα γνωρίζουμε έως τώρα, ο συγκεκριμένος ιός ransomware έχει τη τάση να διαγράφει τα Shadow Volume Copies που σχετίζονται με τα κρυπτογραφημένα αρχεία με τη χρήση της εντολής “vssadmin.exe delete shadows /all /Quiet.” Ωστόσο, δε μπορούμε να πούμε με απόλυτη βεβαιότητα εάν το Shadow Explorer αποτελεί καλή ή όχι εναλλακτική επιλογή για την ανάκτηση αρχείων που κρυπτογράφησε ο ιός Nozelesn. Μπορείς να βρεις αναλυτικότερες πληροφορίες σχετικά με τη χρήση του Shadow Explorer για την ανάκτηση κρυπτογραφημένων αρχείων, στην ενότητα σχετικά με την ανάκτηση δεδομένων.

Nozelesn ransomware - ένας ιός με προηγμένο λογισμικό κρυπτογράφησης

Μη ασφαλή emails με μεγάλα ονόματα χρησιμοποιούνται για τη διαδικτυακή εξάπλωση του ιού

Οι developers του ιού έχουν τη τάση να χρησιμοποιούν τα ονόματα πολύ δημοφιλών εταιρειών ώστε να μεγιστοποιούν τις πιθανότητες να κεντρίσουν το ενδιαφέρον των παραληπτών και εν τέλει να τους κάνουν να ανοίξουν τα spam emails. Συνήθως, αυτά τα spam emails μοιάζουν εκ πρώτης όψεως ιδιαιτέρως αξιόπιστα και νόμιμα, σχεδόν πανομοιότυπα με τα αυθεντικά emails που στέλνουν κανονικά οι εταιρείες. Έτσι, οι παραλήπτες μόλις βλέπουν στα Εισερχόμενα emails που φαίνεται να έχουν σταλθεί από δημοφιλείς εταιρείες, όπως πχ. FedEx, Amazon, eBay, κλπ. Στις περισσότερες των περιπτώσεων, όχι μόνο ανοίγουν τα spam emails, αλλά πιστεύουν το περιεχόμενό τους, κι εν τέλει κατεβάζουν τις κακόβουλες επισυνάψεις που είναι μολυσμένες με ανεπιθύμητα και/ή κακόβουλα προγράμματα ή κώδικες.

Εάν επιθυμείς να προστατέψεις την εύρρυθμη λειτουργία κι ασφάλεια του συστήματος του υπολογιστή σου και να αποφύγεις ή έστω να ελαχιστοποιήσεις καταστροφικές διεισδύσεις ιών ransomware, είναι πολύ σημαντικό να διπλοτσεκάρεις κάθε email μήνυμα που λαμβάνεις στα Εισερχόμενα, καθώς ενδέχεται κάποια απ' αυτά να είναι δυνητικά επικίνδυνα ή spam / scam emails.

Παρακάτω, μπορείς να διαβάσεις κάποια πολύ σημαντικά tips για το πως να ξεχωρίζεις τα κανονικά, αξιόπιστα, ασφαλή emails από τα spam emails:

• O αποστολέας. Η ηλεκτρονική διεύθυνση του αποστολέα, όταν το email παρουσιάζεται ως εταιρικό, πρέπει να χρησιμοποιεί την επίσημη ηλεκτρονική διεύθυνση της εταιρείας. Το καλύτερο που έχεις να κάνεις σ' αυτή την περίπτωση είναι να επισκεφτείς την επίσημη ιστοσελίδα της εταιρείας και να διασταυρώσεις εάν η ηλεκτρονική διεύθυνση αποστολέα ταιριάζει με την αντίστοιχη επίσημη ηλεκτρονική διεύθυνση της εταιρείας από την οποία φαίνεται να έχει σταλθεί το email.
• To περιεχόμενο. Στο περιεχόμενο του email μπορεί να αναφέρονται εταιρείες / υπηρεσίες / προϊόντα που δεν γνωρίζεις και/ή δε χρησιμοποίησες ποτέ σου. Σε αυτή την περίπτωση, αγνόησε πλήρως το email και στείλτο στον Spam φάκελο.
• Επισυνάψεις. Καλό είναι να γνωρίζεις ότι Word ή Excel έγγραφα μπορεί να εμπεριέχουν macro ιούς. Εάν στο έγγραφο σου ζητηθεί να ενεργοποιήσεις τα macros, στείλτο αμέσως στον Κάδο Ανακύκλωσης. Κατόπιν, σε συμβουλεύουμε να προβείς σε σάρωση συστήματος με πλήρως ενημερωμένο κι αξιόπιστο λογισμικό ασφαλείας.

Εν κατακλείδι, εάν διαπιστώσεις το οτιδήποτε ύποπτο σε κάποιο email που θα λάβεις, μη ρισκάρεις να το ανοίξεις, και φυσικά μην κάνεις το λάθος και κατεβάσεις την όποια επισύναψη μπορεί να έχει. Αντίθετα, θα πρέπει να προβείς άμεσα σε επισήμανση του email ως Spam και να το διαγράψεις.

Διαγραφή του ιού Nozelesn ransomware με τη χρήση επαγγελματικών εργαλείων ασφαλείας

Για την ολοκληρωτική, ασφαλή, και γρήγορη αφαίρεση του ιού Nozelesn ransomware, είναι άκρως απαραίτητο να χρησιμοποιήσεις ένα πλήρως ενημερωμένο κι αξιόπιστο λογισμικό ασφαλείας τύπου anti-malware. Μόνο έτσι ο ιός θα αφαιρεθεί αποτελεσματικά. Επίσης, είναι πολύ σημαντικό να κατεβάζεις τακτικά όλες τις τελευταίες ενημερώσεις του λογισμικού ασφαλείας, ώστε να προβαίνει σε αποτελεσματικές σαρώσεις συστήματος. Όσον αφορά τον συγκεκριμένο ιό ransomware, προτείνουμε τη χρήση κάποιου απ' αυτά εξαίρετα και πολυδοκιμασμένα λογισμικά ασφαλείας: RestoroIntego, Malwarebytes ή SpyHunter 5Combo Cleaner. Εκτός της αποτελεσματικής εξουδετέρωσης του συγκεκριμένου ιού, εγγυώνται πλήρη προστασία από μελλοντικές διεισδύσεις ιών και ανεπιθύμητων προγραμμάτων.

Θα ήταν προτιμότερο να αποφευχθεί η προσπάθεια χειροκίνητης αφαίρεσης του ιού Nozelesn ransomware, καθώς πρόκειται για έναν ιδιαιτέρως περίπλοκο, προηγμένο, και επικίνδυνο ιό τύπου cryptovirus.

Στην περίπτωση που ο ιός μπλοκάρει τη διαδικασία σάρωσης, θα πρέπει να ακολουθήσεις προσεκτικά και βήμα προς βήμα τις παρακάτω οδηγίες. Κατόπιν, θα πρέπει να πας στην ενότητα σχετικά με την ανάκτηση δεδομένων / αρχείων. Όπως αναφέραμε νωρίτερα, ο συγκεκριμένος ιός ransomware ενδέχεται να προσπαθήσει να διαγράψει τα Shadow Volume Copies των κρυπτογραφημένων δεδομένων. Ωστόσο, και πάλι συνιστούμε να δοκιμάσεις να χρησιμοποιήσεις τον ShadowExplorer, καθώς αποτελεί μια από τις καλύτερες επιλογές όσον αφορά την ανάκτηση κρυπτογραφημένων αρχείων και δεδομένων.