MISCHA Ransomware

Conosciuto inoltre come: Mischa virus
Distribuzione: Basso
Livello di danno: Grave

MISCHA ransomware, istruzioni di rimozione

Cos'è MISCHA?

Creato dagli sviluppatori di Petya, Mischa è un altro ransomware che si infiltra nel computer della vittima e crittografa i file. Questo virus si distribuisce tramite allegati e-mail malevoli che sono comunemente mascherati come modulo di domanda di lavoro. I file vengono crittografati con algoritmo asimmetrico, in tal modo, due chiavi (una pubblica, utilizzata per crittografare) e una privata (usata per decriptare) sono generate durante la crittografia. Mischa estende nomi dei file crittografati con una delle seguenti estensioni:. .cRh8,. 3P7m, .aRpt, .eQTz or.3RNu. Questo ransomware crea anche due file .txt e .html (entrambi di nome YOUR_FILES_ARE_ENCRYPTED) e li inserisce in ogni cartella che contiene i file crittografati.

Entrambe i file TXT e HTML contengono lo stesso identico messaggio che indica che i file della vittima sono stati criptati e che possono essere ripristinati solo pagando un riscatto. La chiave privata di cui sopra è memorizzata in un server remoto controllato da criminali informatici, di conseguenza, le vittime devono presumibilmente acquistarla. I risultati della ricerca mostrano che una volta che l'utente apre gli allegati e-mail infetti e dà il permesso di amministratore, viene installato il ransomware Petya. Tuttavia, se l'utente decide di rifiutare la concessione di permessi, Mischa ransomware è installato. A differenza di Petya (che blocca completamente il computer delle vittime), Mischa si comporta come qualsiasi altra ransomware regolare. Mischa richieste 1,9404 Bitcoin (~ $ 882,88). Rispetto ad altri virus, questa taglia è un po alta, poiché in genere oscilla comunemente tra 0,5 e 1,5 Bitcoin. Purtroppo, non ci sono strumenti in grado di decifrare i file compromessi da questo ransomware. Pertanto, l'unica cosa che le vittime possono fare è ripristinare i file / sistema da un backup

Screenshot di un messaggio che incoraggia a contattare gli sviluppatori di MISCHA ransomware:

MISCHA decrypt instructions

Mischa è simile a Samsam, Locky, Cerber e decine di altri virus. Bisogna essere consapevoli del fatto che ogni singolo ransomware è progettato per crittografare i file e richiedere un riscatto. L'unica differenza tra questi virus è la dimensione della taglia e il tipo di algoritmo usato per cifrare. Tuttavia, i risultati della ricerca hanno scoperto che gran parte dei criminali informatici ignorano le vittime, anche se pagano il riscatto, il che significa che il pagamento non garantisce che i file verranno mai decifrati. Per queste ragioni, non si dovrebbe mai tentare di contattare i criminali informatici, e non pagare il riscatto. Vale la pena ricordare che il ransomware di tipo virus sono suscettibili di essere distribuiti utilizzando reti peer to peer (ad esempio, Torrent), allegati dannosi e-mail, aggiornamenti software falsi, così come trojan. Pertanto, gli utenti devono essere molto cauti quando scaricano file da fonti di terze parti e aprono gli allegati inviati da indirizzi e-mail non riconosciuti e / o sospetti. A parte questo, gli utenti dovrebbero sempre mantenere il software installato aggiornato. Utilizzare un software legittimo anti-virus / anti-spyware è anche un must.

Screenshot del file YOUR_FILES_ARE_ENCRYPTED.txt:

MISCHA creating html file

Testo presente nel file:

You became victim of the MISCHA RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to
restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "hxxps://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
hxxp://mischapuk6hyrn72.onion/cSAH2A
hxxp://mischa5xyix2mrhd.onion/cSAH2A
3. Enter your personal decryption code there:
dcSAH2A1hBYo7jv9mnsEd3JD9HN9wuxa73CoKaZRLQDLLCiFkB7MJfSpWAyD5QFbDef3ksUf7rttpD43BeJrMoyHL4908fD1

Janus Cybercrime, procedura di affiliazione (I criminali informatici che sviluppano Petya e MISCHA ransomware stanno offrendo il servizio ransomware):

Ransomware MISCHA affiliate Janus

Testo presente in questa pagina:

Profit from PETYA & MISCHA!
High infection rates
PETYA comes bundled with his little brother MISCHA. Since PETYA can't do his evil work without administrative privileges, MISCHA launches when those can't be obtained.
PETYA does a low level encryption of the disk, which is a completely new technique in ransomware. MISCHA acts as an traditional file-based ransomware. Provably fair
As professional cybercriminals, we know that you can't trust anyone. So we developed a payment system based on multisig addresses, where no one (including us) can rip you off.
FREE CRYPTING SERVICE
We provide you FUD crypted binarys, and that 24/7. No need to buy shitty crypters or waste your money on expensive crypting services. Additionally, for our distributors with the highest volume, we provide a private stub. That means a even more stable infection rate.
EASY ADMINISTRATION
Administrative Tasks live viewing the latest infections, setting the ransom price or recrypting your binary can be done with an clean and simple web-interface. We also have an qualified support, which will help you with any problems. Since this project is still in beta, we are open for any bug-report or feature-request.
PAYMENT SHARE
Your share on the payments you have generated is calculated with the following table. The more volume you generate in one week, the more share on the profit you get. Example: if you generate a volume of 125 BTC, you get a payout of 106.25 BTC. That are at the moment about 45,000 USD! To get a volume over 100 BTC is not a big deal with the right technique!

Passi da seguire per pagare MISCHA:

MISCHA ransomware payment step 1 MISCHA ransomware payment step 3

Testo presente in queste pagine:

Step 1: Enter your personal identifier
First you have to enter your personal identifier. This code contains important informations for the decryption process. It's important that you enter it exactly like shown on the encrypted computer. The code contains a checksum, which prevents typos and ensures a successfull decryption.
You can copy paste it from the files that are in the directories with encrypted files.
Step 3: Do a bitcoin transaction
Now you have to send your purchased Bitcoins to the payment address. If you just purchased Bitcoins on a exchange or marketplace site, look for a section called "withdraw" and enter the details shown below. If you already own Bitcoins, send the right amount to the payment address shown below, directly from the wallet you use.
If you have any problems with the transaction, feel free to contact our support.
Address:
-
Demand:
1.94040000 Bitcoins
After you made the payment transaction, you have to wait until we manually confirm it. This process usually takes a few hours. In some rare cases some payments need more time to get confirmed. Please refresh this page to see if your payment got confirmed.

Faq del sito di MISCHA:

MISCHA ransomware web FAQ

Testo presente in questa pagina:

FAQ - Frequently Asked Questions
Why is the infection screen shown before windows starts?
Our system has a strong physical low level encryption, which encrypts all of your data storages, include usb devices. Windows repair programs or other diagnostic tools can't restore any data.
What will happen if I just reinstall my computer?
All your data will be irreversible destroyed and you have to buy a new windows license. Nobody can restore any data without your personal decryption key.
Which encryption algorithms are used? The RSA (cryptosystem) 4096 bit and Advanced Encryption Standard (AES) 256 bit are used. Both systems are very secure and can't be bypassed or cracked.
What can i do?
Follow the decryption wizard on this page. It will help you with the payment and the decryption of your computer. In some cases your personal data will published to the darknet if you don't pay!

Supporto del sito di MISCHA:

MISCHA ransomware web support

Testo presente in questa pagina:

If you have any problems with the payment or the decryption process, you can send us a message. Please write your message in english, our russian speaking staff is not always available.

Rimozione di MISCHA ransomware:

Menu rapido:

Step 1

Windows XP e Windows 7: Avviare il computer in modalità provvisoria. Fare clic su Start, scegliere Chiudi sessione, fare clic su Riavvia, fare clic su OK. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare la modalità provvisoria con rete dalla lista.

modalità provvisoria con rete

Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":

Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.

Windows 8 modalità provvisoria con rete

Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":

Step 2

Login nel conto infettato da MISCHA. Avviare il browser Internet e scaricare un programma anti-spyware legittimo. Aggiornare il software anti-spyware e avviare una scansione completa del sistema. Rimuovere tutte le voci rilevate


Download rimozione del Mischa virus

Se hai bisogno di assistenza nella rimozione di mischa virus, puoi chiamarci 24 ore su 24:
+39 030 6585726
Lo scanner gratuito controlla se il computer è infetto. Per rimuovere il malware, è necessario acquistare una versione completa di Reimage.

Se non è possibile avviare il computer in modalità provvisoria con rete, provare ad eseguire un ripristino del sistema.

Video che mostra come rimuovere il virus ransomware usando "Modalità provvisoria con prompt dei comandi" e "Ripristino configurazione di sistema"

1. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, e quindi selezionare Modalità provvisoria con prompt dei comandi dalla lista e premere INVIO.

accendi il pc in modalità provvisoria con rete

2. Quado si carica il prompt dei comandi, digitare: cd restore e premere INVIO.

prompt dei comandi cd restore

3. Quindi, digitare: rstrui.exe e premere INVIO

prompt dei comandi rstrui.exe

4.Nella finestra che si apre premere AVANTI.

rispristino sistema

5. Selezionare uno dei disponibili punti di ripristino e fare clic su "AVANTI" (questo ripristinerà il computer a uno stato e data precedenti, prima che il virus ransomware MISCHA si sia infiltrato nel PC).

seleziona punto di ripristino

6. Nella finestra che si apre cliccare su SI.

ripristino sistema

7. Dopo aver ripristinato il computer a una data precedente, scaricare ed eseguire la scansione del PC con un software anti malaware raccomandato per eliminare i file di MISCHA.

Per ripristinare singoli file crittografati da questo ransomware, provare a utilizzare le versioni precedenti di Windows. Questo metodo è efficace solo se Ripristino configurazione di sistema funzione è stata attivata su un sistema operativo infetto. Si noti che alcune varianti di MISCHA sono noti per rimuovere copie shadow volume dei file, quindi questo metodo potrebbe non funzionare su tutti i computer.

Per ripristinare un file, fare clic destro su di esso, andare in Proprietà e selezionare la scheda Versioni precedenti. Se il file in questione ha un punto di ripristino, selezionarla e fare clic sul pulsante "Ripristina".

ripristinare file criptati con CryptoDefense

Se non è possibile avviare il computer in modalità provvisoria con rete (o con prompt dei comandi), avvia il pc con un disco di ripristino. Alcune varianti di ransomware disabilitano la modalità provvisoria facendo la sua rimozione complicata. Per questo passaggio, si richiede l'accesso a un altro computer.

Per riprendere il controllo dei file crittografati da MISCHA si può anche provare a utilizzare un programma chiamato Shadow Explorer. Maggiori informazioni sono disponibili qui

shadow explorer screenshot

 Per proteggere il computer da ransomware come questo, usa antivirus affidabili e programmi anti-spyware. Come metodo di protezione in più, gli utenti di computer possono utilizzare un programma chiamato HitmanPro.Alert e Malwarebytes Anti-Ransomware che impianta artificialmente oggetti Criteri di gruppo nel Registro di sistema, al fine di bloccare i programmi canaglia come MISCHA)

HitmanPro.Alert CryptoGuard - rileva la crittografia di file e neutralizza tali tentativi, senza la necessità di un intervento da parte dell'utente:

hitmanproalert ransomware

Malwarebytes Anti-Ransomware Beta utilizza la tecnologia proattiva avanzata che controlla l'attività ransomware e lo termina immediatamente - prima che raggiunga i file degli utenti:

malwarebytes anti-ransomware

  • Il modo migliore per evitare danni da infezioni ransomware è quello di mantenere regolari backup. Maggiori informazioni sulle soluzioni di backup online e software di recupero dati possono essere trovati qui.

Altri strumenti utili per eliminare MISCHA ransomware: