Rimozione dell'infezione .pdf ransomware

Conosciuto inoltre come: .pdf virus
Distribuzione: Basso
Livello di danno: Grave

.pdf ransomware, guida di rimozione

Cos'è .pdf ransomware?

.pdf è un'infezione di tipo ransomware che appartiene alla famiglia di ransomware Dharma. Come con la maggior parte delle infezioni di questa famiglia, è stata scoperta da Jakub Kroustek. Dopo essersi infiltrata, .pdf crittografa la maggior parte dei dati memorizzati, rendendoli così inutilizzabili. Inoltre, .pdf rinomina ogni file aggiungendo l'ID della vittima, l'indirizzo email degli sviluppatori e l'estensione ".pdf". Ad esempio, "sample.jpg" verrebbe rinominato come "sample.jpg.id-1E857D00. [[email protected]] .pdf". Si noti che ".pdf" è l'estensione ed è in realtà un formato completamente originale di Portable Document Format (PDF), quindi è molto probabile che i file crittografati ottengano un'icona di file PDF. Tuttavia, non lasciarti ingannare da questo, i file sono sicuramente crittografati e non è come se i loro formati fossero semplicemente cambiati. Ora una volta terminata la crittografia, .pdf apre una finestra pop-up (applicazione HTML) e rilascia il file di testo "RETURN FILES.txt" sul desktop.

Ora il file di testo creato fornisce un breve messaggio in cui si afferma che i dati sono crittografati e incoraggiano le vittime a contattare gli sviluppatori .pdf. Nel frattempo, l'applicazione HTML fornisce molte più informazioni. Indica che i file sono stati compromessi utilizzando la crittografia RSA-1024 e che è necessaria una chiave di decrittazione univoca per ripristinarlo. Sfortunatamente, questo è completamente vero. RSA-1024 è un algoritmo asimmetrico progettato per generare due chiavi univoche singolarmente per ogni vittima. La chiave pubblica viene utilizzata per crittografare i dati mentre la chiave privata viene utilizzata per decrittografarli. Il problema è che le vittime non possono accedere alle loro chiavi private, poiché tutte sono archiviate in un server remoto controllato dagli sviluppatori di .pdf. Per questo motivo, queste persone possono facilmente ricattare le vittime offrendo un recupero a pagamento. Il prezzo per la decrittazione è attualmente sconosciuto. Tuttavia vale la pena ricordare che la dimensione del riscatto di solito oscilla tra $ 500- $ 1500 e che i truffatori chiedono di pagare in varie criptovalute, come Bitcoin, Moneros, DASH, Ethereum o altri. Ora vale la pena ricordare che gli sviluppatori di .pdf offrono una decrittazione gratuita di 1 file (fino a 1 Mb di dimensioni, non archiviato). Lo fanno con l'intenzione di dimostrare che sono effettivamente in grado di ripristinare i dati e ottenere la fiducia della vittima. Tuttavia, anche se puoi permetterti di pagare, non dovresti mai farlo. Gli sviluppatori di ransomware in generale sono noti per ignorare le vittime, una volta che i pagamenti sono stati inviati. In altre parole, è molto probabile che il pagamento non dia risultati positivi e che gli utenti vengano semplicemente truffati. Per questo motivo, tutti gli incoraggiamenti a presentare pagamenti e persino a contattare queste persone dovrebbero essere ignorati. Sfortunatamente, non esistono strumenti in grado di decifrare la crittografia RSA-1024 e ripristinare i dati gratuitamente. Pertanto, l'unica cosa che le vittime possono fare è ripristinare tutto da un backup, se ne esiste uno creato.

Schermata di un messaggio che incoraggia gli utenti a pagare un riscatto per decrittografare i loro dati compromessi:

.pdf decrypt instructions

.pdf è praticamente identico a dozzine di altre infezioni di tipo ransomware, ad esempio Sguard, Cetori, NEMTY PROJECT. Si noti che anche se gli sviluppatori sono diversi, tutte le infezioni da ransomware sono praticamente identiche. Quasi tutti sono progettati per compromettere i dati (in genere crittografandoli) in modo che gli sviluppatori possano presentare richieste di riscatto offrendo un recupero a pagamento. Il problema è che le crittografie vengono generalmente eseguite utilizzando AES, RSA e altre crittografie simili che generano chiavi di decrittazione univoche. Pertanto, se il virus è completamente sviluppato e non presenta bug / difetti, è impossibile ripristinare i dati manualmente (senza l'interferenza degli sviluppatori). Le infezioni da ransomware sono uno dei motivi principali per cui è necessario mantenere regolari backup dei dati. Tuttavia, assicurati di memorizzarli in un server remoto (ad esempio Cloud) o in un dispositivo di archiviazione non collegato (disco rigido esterno, unità flash o simile). Questo perché i backup archiviati localmente verranno compromessi insieme ai dati regolari. In effetti, dovresti avere più copie di backup archiviate in posizioni diverse, poiché c'è sempre la possibilità che il server / dispositivo di archiviazione usato venga danneggiato.

In che modo il ransomware ha infettato il mio computer?

Il modo in cui gli sviluppatori proliferano .pdf è attualmente non confermato. Tuttavia, infezioni di questo tipo vengono generalmente distribuite utilizzando trojan, falsi programmi di aggiornamento e crack, e-mail di spam e fonti di download di terze parti (ad esempio reti Peer-to-Peer [P2P], siti Web di download gratuiti, siti di hosting di file gratuiti e simili ). I trojan sono applicazioni dannose leggere che si infiltrano di nascosto nei computer e li iniettano con malware aggiuntivo. Gli aggiornamenti falsi e le crepe infettano i sistemi invece di salvare il loro scopo reale, che sta aggiornando / attivando il software. Le campagne di spamming e-mail vengono utilizzate per inviare centinaia di migliaia di e-mail ingannevoli contenenti allegati dannosi (ad esempio, collegamenti / file) e messaggi che descrivono questi allegati come vari documenti importanti (ad esempio, ricevute, fatture, fatture, ecc.) E incoraggiare i destinatari ad aprire . Lo stesso vale per le fonti di download non ufficiali, che i criminali usano per presentare eseguibili dannosi come software autentico, inducendo così gli utenti a scaricare / installare manualmente malware. In sintesi, il comportamento sconsiderato e la mancanza di conoscenza sono i motivi principali delle infezioni del computer.

Sommario:
Nome .pdf virus
Tipo di minaccia Ransomware, Crypto Virus, Files locker
Estensione dei file criptati .pdf (questo ransomware aggiunge anche nomi di file con ID univoco della vittima e indirizzo e-mail degli sviluppatori)
Messaggio di richiesta riscatto RETURN FILES.txt file di testo, finestra pop-up (applicazione HTML)
Contato dei criminali informatici [email protected]
Nomi rilevati Avast (Win32:RansomX-gen [Ransom]), BitDefender (Trojan.Ransom.Crysis.E), ESET-NOD32 (una variante di Win32/Filecoder.Crysis.P), Kaspersky (Trojan-Ransom.Win32.Crusis.to), Lista completa (VirusTotal)
Sintomi Impossibile aprire i file memorizzati sul tuo computer, i file precedentemente funzionanti ora hanno un'estensione diversa, ad esempio my.docx.locked. Sul desktop viene visualizzato un messaggio di riscatto. I criminali informatici chiedono di pagare un riscatto (di solito in bitcoin) per sbloccare i tuoi file.
Metodi distributivi Allegati e-mail (macro) infetti, siti Web torrent, annunci dannosi.
Danni Tutti i file sono crittografati e non possono essere aperti senza un riscatto. Password aggiuntiva che ruba trojan e infezioni da malware può essere installata insieme a un'infezione da ransomware.
Rimozione

Per eliminare .pdf virus i nostri ricercatori di malware consigliano di scansionare il tuo computer con Spyhunter.
▼ Scarica Spyhunter
Lo scanner gratuito controlla se il tuo computer è infetto. Per rimuovere il malware, devi acquistare la versione completa di Spyhunter.

Come proteggersi dalle infezioni da ransomware?

Per evitare questa situazione, gli utenti devono innanzitutto rendersi conto che la chiave per la sicurezza del computer è la cautela. Pertanto, è estremamente importante prestare molta attenzione durante i processi di download / installazione / aggiornamento, nonché durante la navigazione in Internet in generale. Download dei programmi desiderati solo da fonti ufficiali, preferibilmente utilizzando collegamenti per il download diretto. Una corretta manutenzione del software è un must, il che significa che mantenere le applicazioni installate aggiornate è fondamentale. Tuttavia, gli aggiornamenti del software devono essere eseguiti utilizzando le funzioni o gli strumenti implementati forniti solo dallo sviluppatore ufficiale. L'uso di downloader / installatori / programmi di aggiornamento di terze parti è rischioso, poiché questi strumenti spesso includono applicazioni non autorizzate. Ora è molto importante sapere che la pirateria informatica è un crimine informatico. Se ciò non bastasse, la stragrande maggioranza degli strumenti di cracking è falsa e, quindi, usarli è rischioso. Per questo motivo, non si dovrebbe mai tentare di attivare le applicazioni installate utilizzando strumenti illegali / di terze parti. Anche la gestione con cura di tutti gli allegati e-mail ricevuti è estremamente importante. I file / collegamenti che sono irrilevanti e quelli ricevuti da indirizzi e-mail sospetti / non riconoscibili non dovrebbero mai essere aperti. Infine, avere sempre una suite di sicurezza Internet affidabile installata e funzionante - ti aiuterà a rilevare ed eliminare il malware prima che il sistema sia danneggiato. Se il tuo computer è già infetto da .pdf, ti consigliamo di eseguire una scansione con Spyhunter per eliminare automaticamente questo ransomware.

Testo presentato nella finestra pop-up di .pdf ransomware (applicazione HTML):

All FILES ENCRYPTED "RSA1024"
All YOUR FILES HAVE BEEN ENCRYPTED!!! IF YOU WANT TO RESTORE THEM, WRITE US TO THE E-MAIL [email protected]
IN THE LETTER WRITE YOUR ID, YOUR ID 1E857D00
IF YOU ARE NOT ANSWERED, WRITE TO EMAIL:[email protected]
YOUR SECRET KEY WILL BE STORED ON A SERVER 7 DAYS, AFTER 7 DAYS IT MAY BE OVERWRITTEN BY OTHER KEYS, DON'T PULL TIME, WAITING YOUR EMAIL
FREE DECRYPTION FOR PROOF
You can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
DECRYPTION PROCESS:
When you make sure of decryption possibility transfer the money to our bitcoin wallet. As soon as we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
!WARNING!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Schermata del file di testo .pdf ("RETURN FILES.txt"):

.pdf text file

Testo presentato all'interno di questo file:

All your data is encrypted!
for return write to mail:
[email protected]

Schermata dei file crittografati con .pdf (estensione ".pdf"):

Files encrypted by .pdf

Rimozione di .pdf ransomware:

Rimozione automatica istantanea di .pdf virus: La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Spyhunter è uno strumento professionale per la rimozione automatica del malware che è consigliato eliminare .pdf virus. Scaricala cliccando sul pulsante qui sotto:
▼ SCARICA Spyhunter Lo scanner gratuito controlla se il computer è infetto. Per rimuovere il malware, è necessario acquistare una versione completa di Spyhunter. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.

Menu:

Step 1

Windows XP e Windows 7: Avviare il computer in modalità provvisoria. Fare clic su Start, scegliere Chiudi sessione, fare clic su Riavvia, fare clic su OK. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare la modalità provvisoria con rete dalla lista.

modalità provvisoria con rete

Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":

Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.

Windows 8 modalità provvisoria con rete

Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":

Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.

windows 10 modalità provvisoria con rete

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Step 2

Login nel conto infettato da .pdf Avviare il browser Internet e scaricare un programma anti-spyware legittimo. Aggiornare il software anti-spyware e avviare una scansione completa del sistema. Rimuovere tutte le voci rilevate

Se non è possibile avviare il computer in modalità provvisoria con rete, provare ad eseguire un ripristino del sistema.

Video che mostra come rimuovere il virus ransomware usando "Modalità provvisoria con prompt dei comandi" e "Ripristino configurazione di sistema"

1. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, e quindi selezionare Modalità provvisoria con prompt dei comandi dalla lista e premere INVIO.

accendi il pc in modalità provvisoria con rete

2. Quado si carica il prompt dei comandi, digitare: cd restore e premere INVIO.

prompt dei comandi cd restore

3. Quindi, digitare: rstrui.exe e premere INVIO

prompt dei comandi rstrui.exe

4.Nella finestra che si apre premere AVANTI.

rispristino sistema

5. Selezionare uno dei disponibili punti di ripristino e fare clic su "AVANTI" (questo ripristinerà il computer a uno stato e data precedenti, prima che il virus ransomware .pdf si sia infiltrato nel PC).

seleziona punto di ripristino

6. Nella finestra che si apre cliccare su SI.

ripristino sistema

7. Dopo aver ripristinato il computer a una data precedente, scaricare ed eseguire la scansione del PC con un software anti malaware raccomandato per eliminare i file di .pdf.

Per ripristinare singoli file crittografati da questo ransomware, provare a utilizzare le versioni precedenti di Windows. Questo metodo è efficace solo se Ripristino configurazione di sistema funzione è stata attivata su un sistema operativo infetto. Si noti che alcune varianti di .pdf sono noti per rimuovere copie shadow volume dei file, quindi questo metodo potrebbe non funzionare su tutti i computer.

Per ripristinare un file, fare clic destro su di esso, andare in Proprietà e selezionare la scheda Versioni precedenti. Se il file in questione ha un punto di ripristino, selezionarlo e fare clic sul pulsante "Ripristina"

ripristinare file criptati con CryptoDefense

Se non è possibile avviare il computer in modalità provvisoria con rete (o con prompt dei comandi), avvia il pc con un disco di ripristino. Alcune varianti di ransomware disabilitano la modalità provvisoria facendo la sua rimozione complicata. Per questo passaggio, si richiede l'accesso a un altro computer.

Per riprendere il controllo dei file crittografati da .pdf si può anche provare a utilizzare un programma chiamato Shadow Explorer. Maggiori informazioni sono disponibili qui

shadow explorer screenshot

Per proteggere il computer da ransomware come questo, usa antivirus affidabili e programmi anti-spyware. Come metodo di protezione in più, gli utenti di computer possono utilizzare un programma chiamato HitmanPro.Alert e Malwarebytes Anti-Ransomware che impianta artificialmente oggetti Criteri di gruppo nel Registro di sistema, al fine di bloccare i programmi canaglia come .pdf)

Nota che Windows 10 Fall Creators Update include la funzione "Accesso alla cartella di controllo"che blocca i tentativi dei ransomware di crittografare i file. Per impostazione predefinita questa funzione protegge automaticamente i file memorizzati nelle cartelle Documenti, Immagini, Video, Musica, Preferiti e Desktop.

Controll Folder Access

Gli utenti di Windows 10 devono installare questo aggiornamento per proteggere i loro dati dagli attacchi dei ransomware. Qui potrete trovare maggiori informazioni su come ottenere questo aggiornamento e aggiungere un livello di protezione aggiuntivo dalle infezioni da ransomware.

HitmanPro.Alert CryptoGuard - rileva la crittografia di file e neutralizza tali tentativi, senza la necessità di un intervento da parte dell'utente:

hitmanproalert ransomware

Malwarebytes Anti-Ransomware Beta utilizza la tecnologia proattiva avanzata che controlla l'attività ransomware e lo termina immediatamente - prima che raggiunga i file degli utenti:

malwarebytes anti-ransomware

  • Il modo migliore per evitare danni da infezioni ransomware è quello di mantenere regolari backup. Maggiori informazioni sulle soluzioni di backup online e software di recupero dati possono essere trovati qui.

Altri strumenti utili per eliminare .pdf ransomware:

Fonte: https://www.pcrisk.com/removal-guides/15698-pdf-ransomware

Informazioni sull'autore:

Tomas Meskauskas

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online. Leggi di più sull'autore.

Il portale per la sicurezza di PCrisk è creato grazie all'unione di ricercatori di sicurezza per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sugli autori ed i ricercatori che stanno lavorando su PCrisk possono essere trovate nella nosta pagina di contatti.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Istruzioni di rimozione in altre lingue
Codice QR
.pdf virus Codice QR
Un codice QR (Quick Response Code) è un codice leggibilemeccanicamente che memorizza gli URL e altre informazioni. Questo codice può essere letto utilizzando una telecamera su uno smartphone o un tablet. Eseguire la scansione di questo codice QR per avere un veloce accesso alla guida di rimozione di .pdf virus sul tuo dispositivo mobile.
Noi raccomandiamo:

Liberati di .pdf virus oggi stesso:

▼ RIMUOVILO con Spyhunter

Piattaforma: Windows

Valutazione degli Editori per Spyhunter:
Eccezionale!

[Inizio pagina]

Lo scanner gratuito controlla se il computer è infetto. Per rimuovere il malware, è necessario acquistare una versione completa di Spyhunter.