HydraCrypt Ransomware

A HydraCrypt Ransomware egy nagyon komoly fertőzés, melyet egyetlen céllal fejlesztettek -- hogy pénzt csaljanak ki vele a számítógép felhasználóktól. Az internetes bűnözők tudják jól, hogy nem egyszerű kisajtolni a pénzt, ezért titkosítják a felhasználók összes személyes fájlját, majd pedig váltságdíjat követelnek értük. A HydraCrypt Ransomware nem egy egyedi fenyegetés. Kutatások bizonyítják, hogy nagyon hasonlóképp működik a 7ev3n Ransomware, NanoLocker Ransomware, és JS.Crypto Ransomware váltságdíj-programokhoz. Ezekhez a korábban megjelent fenyegetésekhez hasonlóan a HydraCrypt Ransomware-t sem lehetséges a Vezérlőpulton keresztül eltávolítani. Természetesen, ettől még el kell távolítania, különösen, ha nem fogja a pénzét bűnözőknek adni, és úgy dönt, hogy valamilyen biztonsági másolatból, például USB kulcsról vagy külső meghajtóról, helyreállítja az elvesztett fájlokat.

A pcthreat.com kutatói alaposan megvizsgálták ezt a váltságdíj-programot, és azt találták, hogy amint bejut a rendszerbe, lemásolja magát a következő könyvtárak valamelyikébe: %APPDATA%, %LOCALAPPDATA% vagy %TEMP%. Bizonyosak vagyunk abban, hogy ennek egy fő oka van. Nagy valószínűséggel a HydraCrypt Ransomware azért teszi ezt, hogy a felhasználó ne tudja könnyen eltávolítani. Továbbá, a jelenlétét is igyekszik elrejteni egy kis időre, mivel 10-20 percre van szüksége ahhoz, hogy befejezze az összes fájl titkosítását a rendszerén. A szakértők szerint a HydraCrypt Ransomware két név bejegyzést is hozzáad a Windows Registry adatbázishoz, melyek közül az egyik vélhetően a ChromeSettingsStart3264 (ezzel az értékkel: "C:\Users\user\AppData\Roaming\ChromeSetings3264\rovaxowy.exe"). Ezt a két bejegyzést a HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run registry kulcsban találja. Nem fér hozzá kétség, hogy azért hozza ezeket a RUN kulcsban létre, hogy a számítógép újraindításával együtt indulhasson a Windows-zal.

Miután befejezte fő munkálatait -- a .bin, .mp4, .ppt, .pptx, .txt, .wma, .wmv, .jpg, .html, .docx, és .dat kiterjesztésű fájlok titkosítását -- ez a fenyegetés egy üzenetet jelenít meg a képernyőn. Ez az üzenet tájékoztatja a felhasználókat a titkosítás tényéről, és utasítja őket a további teendőkről:

Encryption was made with a special crypto-code!

There NO CHANCE to decrypt it without our special software and your unique private key!

To buy your software You need to contact us by EMAIL

Két e-mail cím is található ezen az üzeneten: XHELPER@DR.COM és AHELPER@DR.COM. Elvileg ezeken kell az internetes bűnözőkkel felvenni a kapcsolatot, hogy a felhasználó további instrukciókat kapjon, amire 72 órát kap. Amennyiben nem veszi fel a kapcsolatot a fenyegetés küldőivel a megadott időkereten belül, akkor az összes fájlját elveszíti, ráadásul a fekete piacon el is adhatják azokat (legalább is, ezzel fenyegetőznek). Ha kapcsolatba lép a bűnözőkkel, bizonyára megmondják Önnek a pontos összeget, amelyet át kell a számukra utalnia. A legvalószínűbb, hogy Bitcoinban kérik a díjat átutalni. Csak Ön döntheti el, hogy átutalja-e a pénzt vagy sem. Azonban, javasoljuk, hogy állítsa vissza fájljait a biztonsági másolatából, amennyiben az rendelkezésére áll, mivel senki sem garantálhatja, hogy valóban lesz-e hozzáférése a fájljaihoz, miután kifizette a váltságdíjat.

Megfigyelések azt mutatják, hogy a HydraCrypt Ransomware fő fájlját azután tölthetik le a felhasználók, miután megnyitnak egy spam levelet, rákattintanak egy megbízhtatlan linkre, vagy ha gyanús weboldalakról próbálnak szoftvert letölteni. Ezenkívül ez a fenyegetés más rosszindulatú szoftverek által is felkúszhat a rendszerére, melyek előzőleg már a gépén voltak. Ezért, bölcs dolog lenne, ha gondoskodna arról, hogy a rendszere mindenkor tiszta legyen. Úgy tűnik, hogy semmi gond nincs addig, amíg duplán rá nem kattint a HydraCrypt Ransomware fő fájljára, hiába töltötte is le a számítógépére. Sajnos ezt a legtöbben megteszik, ezért aztán meg is fertőzi ezen felhasználók rendszerét. Amennyiben úgy érzi, hogy nem tudja megóvni a számítógépét a kártól, jobb ha telepít egy biztonsági eszközt a számítógépére. Akkor biztos, hogy nem fognak a jövőben kártevők lépni a rendszerébe.

Habár a HydraCrypt Ransomware nem blokkolja az .exe fájlokat és a rendszer-optimalizáló programokat, mint ahogy azt más váltságdíj-program fertőzések teszik, mégsem olyan egyszerű eltávolítani ezt a fenyegetést. Ezért készítettünk Önnek egy kézi eltávolítási útmutatót, amit a cikk alatt talál meg. Amennyiben nem segítenek Önnek ezek az instrukciók, akkor érdemesebb letölteni és feltelepíteni egy automatikus kártevő eltávolítót, mint például a SpyHunter-t, majd egy ellenőrzést lefuttatni a rendszerén. Ne feledje, hogy a fájljai titkosítottak maradnak akkor is, ha már megszabadult a HydraCrypt Ransomware-től, de ettől még ezt mielőbb meg kell tennie.

Hogyan törölje a HydraCrypt Ransomware-t

Rejtett fájlok és mappák megjelenítése

Windows XP

1. Kattintson a Start gombra.
2. Válassza a Vezérlőpultot, és nyissa meg a Megjelenés és témák kategóriát.
3. Válassza a Mappa beállításai ikont.
4. Nyissa meg a Nézet fület.
5. A Rejtett fájlok és mappák alatt, jelölje be a Rejtett fájlok és mappák megjelenítése opciót.
6. Kattintson az OK gombra.

Windows 7/Vista

1. Kattintson a Start gombra.
2. Válassza a Vezérlőpultot.
3. Nyissa meg a Megjelenés és személyes beállítások kategóriát.
4. Válassza a Mappa beállításait.
5. Nyissa meg a Nézet fület.
6. Jelölje be a Rejtett fájlok, mappák és meghajtók opciót a Rejtett fájlok és mappák szekcióban.
7. Kattintson az OK gombra.

Windows 8/8.1/10

1. Nyissa meg a Windows Fájlkezelőt.
2. Kattintson a fenti Nézet fülre.
3. Kattintson a Beállítások opcióra.
4. Nyissa meg a Nézet fület.
5. Jelölje be a Rejtett fájlok, mappák és meghajtók megjelenítése opciót.
6. Kattintson az OK gombra.

A váltságdíj-program eltávolítása

1. Indítsa el a Futtatás ablakot (Windows + R).
2. Írja be, hogy regedit, majd kattintson az OK gombra.
3. Menjen a HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run regisztrációs kulcsra.
4. Keresse meg a ChromeSetingsStart3264 (elképzelhető más név is) értéket.
5. Kattintson a jobb egérgombbal rá, és törölje.
6. Zárja be a Beállításszerkesztőt (Registry Editor).
7. Nyissa meg a Fájlkezelőt.
8. Menjen az %APPDATA%, %LOCALAPPDATA%, és %TEMP% könyvtárakba (másolja ki ezeket az elérési utakat és illessze be a címsorba, majd nyomjon Enter-t), és keresse meg a fájlt, melynek véletlenszerű betűkből áll a neve.
9. Kattintson jobb egérgombbal a fájlra, és válassza a Törlés opciót.
10. Távolítsa el az Asztalról a két képet, amely tartalmazza a HydraCrypt ransomware szimbólumát, és minden egyéb fájlt, ami ehhez a fenyegetéshez tartozik.
11. Ürítse ki a Szemetes kosarát.
12. Indítsa újra a számítógépét.

Azt javasoljuk, hogy futtasson le egy ellenőrzést egy automatikus kártevő eltávolítóval, hogy meggyőződjön róla, teljes egészében eltávolításra került-e ez a váltságdíj-program.