Soft2Secure

Cara mengatasi virus file .thor – penghapusan ransomware Thor

Cara mengatasi virus file .thor – penghapusan ransomware Thor

Devs ransomware Locky tampaknya telah benar-benar sibuk menggelar update untuk produk kejahatan pemerasan mereka akhir-akhir ini. Kurang dari sebulan setelah munculnya varian “Odin” yang sebelumnya, sebuah iterasi baru telah ditemukan tambahan ekstensi .thor pada file lumpuh seseorang. Selain efek miring nama file yang agak berbeda, versi Locky ini juga menunjukkan sejumlah peningkatan yang terkait dengan distribusi.

Thor virus adalah

Virus kripto Locky telah ada di alam liar selama hampir satu tahun ini dan belum mengalami penurunan sedikit pun dalam kecepatan rotasinya selama periode waktu ini. Sebaliknya, itu tetap menjadi salah satu sampel ransomware yang populer dan paling berbahaya saat ini. Selain itu, meskipun upaya intelektual yang cukup besar dilakukkan para peneliti, virus ini masih belum dapat didekripsikan. Telah diberitakan bahwa frekuensi rilis edisi Locky yang baru telah meningkat, yang memperburuk tugas deteksi dan dekripsi selanjutnya. Varian sebelumnya yang dijuluki Odin bahkan tidak berlangsung selama satu bulan. Tweak terbaru telah membawa beberapa perubahan besar. Pertama, infeksi telah mulai menggabungkan ekstensi .thor ke semua file yang dienkripsi selama kompromi. Kedua, operator kampanye ini memilih untuk memodifikasi format loader berbahaya.

Ransomware Thor

Cara Locky menyebar masih melalui spam yang didukung oleh botnet kuat yang dijuluki Necurs. Format file nakal tersebut dilampirkan, bagaimanapun, telah diubah ke .hta. Itu menandakan sebuah aplikasi HTML yang memicu proses menyinggung di latar belakang segera setelah pengguna yang tidak curiga membukanya. Email yang menipu itu mungkin berisi subyek berikut: “Resi” atau “Surat Pengaduan”. Lampiran tersebut kemungkinan besar adalah arsip ZIP yang ekstrak ke sebuah file bernama Resi [digit random] .hta, Surat pengaduan [digit random] .hta, atau Surat tersimpan [random] .hta. Penggunaan format baru loader ini mungkin ditujukan untuk menghindari deteksi AV dan merampingkan alur kerja serangan.

Setelah eksekusi ransomware tersebut dijatuhkan ke sistem target dan mulai bekerja, itu akan memicu scan data. Ketika melakukan scan, versi .thor dari Locky mencari jenis luas file pada hard drive, removable drive apakah ada yang terhubung ke komputer, dan jaringan bersama. Kemudian ia menggunakan kombinasi algoritma kriptografi RSA-2048 dan AES-128 untuk mengenkripsi semua entri diidentifikasi sebagai pribadi selama pemindaian yang disebutkan di atas. Infeksi akan bergerak dengan mengganti wallpaper desktop dengan gambar peringatan tersendiri. Ia juga menambahkan catatan tebusan yang disebut “_HOWDO_text” ke desktop dan menabur mereka di direktori dienkripsi. Manual ini serta latar belakang desktop yang baru menginstruksikan korban untuk mengunjungi halaman Dekriptor Locky dan menggunakan informasi di dalamnya untuk mengirimkan sekitar 0,5 Bitcoin untuk solusi dekripsi otomatis.

Yang menarik dari varian ekstensi .thor dari Locky adalah bahwa ia bisa mengenkripsi data dengan modus offline. Ini berarti bahwa tidak perlu query Command eksternal dan server kontrol untuk kunci-kunci kripto, jadi sekarang adalah ancaman otonom. Selain itu, ini tidak menaikkan bendera merah sejauh perlindungan Firewall seseorang berjalan, yang menyediakan penyerang dengan lapisan tambahan kebingungan. Sedangkan mendekripsi file .thor tanpa membayar untuk kunci RSA privat hampir tidak mungkin, pengguna yang terinfeksi harus mempertimbangkan memanfaatkan metodologi forensik yang cerdas untuk mengembalikan data yang paling penting.

Penghapusan otomatis virus ransomware .thor

Pemusnahan ransomware ini dapat secara efisien dicapai dengan menggunakan perangkat lunak keamanan yang handal. Berpegang pada teknik pembersihan yang otomatis akan memastikan bahwa semua komponen dari infeksi tersebut bisa benar-benar dihapus dari sistem Anda.

1. Download utilitas keamanan yang direkomendasikan dan memeriksa PC Anda dari obyek-obyek berbahaya dengan memilih opsi Start Computer Scan.

Unduh penghilang virus .thor

2. Scan akan muncul dengan daftar item yang terdeteksi. Klik Fix Threats untuk menghapus virus dan infeksi yang terkait dari sistem Anda. Melengkapi fase proses pembersihan ini adalah hal yang paling mungkin dilakukan untuk menyelesaikan pemberantasan yang tepat wabah. Sekarang Anda menghadapi tantangan yang lebih besar – mencoba dan mendapatkan data Anda kembali.

Metode untuk mengembalikan file yang dienkripsi oleh .thor ransomware

Solusi 1: Gunakan software perbaikan file

Sangat penting untuk diketahui bahwa virus .thor menciptakan salinan file Anda dan mengenkripsinya. Sementara itu, file asli bisa dihapus. Ada aplikasi di luar sana yang dapat mengembalikan data yang sudah terhapus. Anda dapat menggunakan tool seperti Data Recovery Pro untuk tujuan ini. Versi terbaru dari ransomware di bawah pertimbangan cenderung menerapkan penghapusan yang aman dengan beberapa banyak tulisan, tetapi dalam hal apapun metode ini patut untuk dicoba.

Unduh Stellar Data Recovery Professional

Stellar Data Recovery Professional

Solusi 2: Memanfaatkan backup

Yang pertama dan terpenting, ini adalah cara yang bagus untuk memulihkan file Anda. Ini hanya berlaku, meskipun, jika Anda sudah membuat cadangan informasi yang tersimpan di komputer Anda. Jika demikian, jangan ragu untuk mendapatkan keuntungan dari pemikiran Anda.

Solusi 3: Gunakan Shadow Volume Copies

Dalam kasus yang tidak Anda ketahui, sistem operasi ini menciptakan apa yang disebut Shadow Volume Copies dari setiap file selama System Restore diaktifkan pada komputer. Ketika poin pemulihan dibuat dengan selang waktu tertentu, snapshot dari file seperti akan muncul pada saat bersamaan. Metode ini tidak menjamin pemulihan versi terbaru dari file Anda. Ini tentu layak dicoba meskipun demikian. Alur kerja ini dapat dilakukan dalam dua cara: manual dan melalui penggunaan solusi otomatis. Mari pertama-tama kita lihat proses manualnya.

  • Pakai fitur Versi Sebelumnya
    OS Windows menyediakan pilihan bawaan untuk memulihkan versi file sebelumnya. Hal ini juga dapat diterapkan untuk folder. Cukup klik kanan file atau folder, pilih Properties dan tekan tab Previous Versions. Dalam area versi, Anda akan melihat daftar salinan file/folder, dengan waktu dan indikasi tanggal masing-masing. Pilih entri terbaru dan klik Copy jika Anda ingin mengembalikan objek ke lokasi baru yang bisa Anda tentukan. Jika Anda klik tombol Restore, item tersebut akan dikembalikan ke lokasi semula.
    Previous versions
  • Gunakan alat Shadow Explorer
    Alur kerja ini memungkinkan untuk memulihkan versi file dan folder sebelumnya secara otomatis, tidak manual dan satu-persatu. Untuk melakukan hal ini, unduh dan instal aplikasi ShadowExplorer. Setelah Anda menjalankannya, pilih nama drive dan tanggal saat versi file diciptakan. Klik kanan folder atau file yang diinginkan dan pilih opsi Export. Lalu tentukan lokasi pemulihan data.
    ShadowExplorer

Memverifikasi apakah ransomware .thor sudah sepenuhnya terhapus

Sekali lagi, penghapusan extension saja tidak mengarah pada dekripsi dari file pribadi Anda. Metode pegembalian data yang disorot di atas tersebut mungkin atau tidak mungkin melakukan trik, tapi file sendiri bukanlah milik dalam komputer Anda. Sekali-kali sering datang dengan ransomware yang lainnya, yang mengapa hal tersebut sungguh masuk akal untuk dilakukannya pemindaian sistem berulang kali dengan perangkat lunak keamanan otomatis untuk memastikan tidak ada sisa-sisa berbahaya dari virus ini dan ancaman terkait yang tersisa di dalam Windows Registry dan lokasi-lokasi yang lainnya.

Unduh pemindai dan penghilang ransomware .thor