Usuń wirusa Hermes 2.1 (Instrukcj usuwania) - zaaktualizowano, mar 2018

Czym jest Wirus Ransomware Hermes 2.1?

Hermes 2.1 to wirus ransomware atakujący obecnie Południową Koreę z pomocą exploita typu zero-day

Hermes 2.1 to infekcja typu ransomware należąca do tej samej rodziny, co ransomware Hermes oraz Hermes 2.0. Została ona wykryta pod koniec 2017 roku przez grupę ekspertów cyberbezpieczeństwa podczas atakowania anglojęzycznych użytkowników sieci. W marcu 2018 roku wykryto nowy wariant, oznaczony Hermes 2.1.

Obecnie atakuje on komputery w Korei Południowejz pomocą zestawu exploitów znanego jako GreenFlash Sundown Flash Player, który pozwala na rozpowszechnianie wirusa Hermes 2.1 poprzez lukę dnia zerowego we Flashu. Nowy wariant działa w formie pliku svchosta.exe i szyfruje pliki korzystając z publicznego klucza RSA oraz szyfru AES. Każdy zaszyfrowany plik otrzymuje rozszerzenie .HERMES, podczas gdy poprzednie odmiany dołączały rozszerzenie .hrm.

Inną cechą tego niebezpiecznego cyberzagrożenia jest usuwanie ukrytych kopii plików. Dlatego ofiary mogą odzyskać pliki tylko z pomocą oryginalnego dekryptera bądź kopii zapasowych.

Różnicą między starą i nową wersją Hermesa 2.1 jest wykorzystywanie innego rozszerzenia pliku dołączanego do zaszyfrowanych dokumentów. Według poprzednich analiz, zostawiał on rozszerzenie HERMES – teraz zaś jest ono wydłużone o ciąg losowych znaków i symboli.

Jak już wspomnieliśmy wcześniej, Hermes 2.1 nie korzysta już z rozszerzenia .HRM. Nie jest to jednak najważniejsza zmiana w zaktualizowanej wersji. Teraz wirus korzysta z algorytmu AES-256, który jest następnie szyfrowany przez algorytm RSA-2048. Zmiana ta utrudnia wytworzenie klucza deszyfrującego, gdyż każdy zaszyfrowany plik daje inne wyniki.

Inne cechy Hermesa 2.1 zostają takie same — jego twórca wciąż umieszcza plik mp3 Wiosny z „Czterech Pór Roku” Vivaldi'ego. Dodatkowo, przestępca wspomina o Uniwersytecie Stanowym Wichita zlokalizowanym w Kansas oraz pozostawia dwa adresy mailowe – nie wiadomo, czy te wszystkie informacje znajdują się tam celowo:

1. BM-2cTSTDcCD5cNqQ5Ugx4US7momFtBynwdgJ@bitmessage.ch;
2. BM2cT72URgs1AWGV6Wy6KBu2yuj3ychN5vxC@bitmessage.ch.

Wirus Hermes 2.1 usuwa ukryte kopie plików, zostawiając mniej możliwości dekrypcji.

Na szczęście, Hermes 2.1 jest już wykrywany przez większość antywirusów jako Trojan[Ransom]/Win32.AGeneric, Ransom.Hermes. Trojan.GenericKD.6154143, itd. Działa on poprzez pliki zwane ClrgraphicsOperation oraz My video.exe.

Malware może też ukrywać się pod innymi nazwami. Jeśli zauważyłeś, że część z Twoich plików zostało zablokowanych i oznaczonych rozszerzeniem .HRM extension bądź otrzymałeś pliki DECRYPT_INFO.txt i DECRYPT_INFORMATION.html, najwyższa pora by przystapić do usunięcia Hermesa 2.1.

Możesz usunąć wirusa Hermes 2.1 z pomocą profesjonalnego programu ochronnego. Zalecamy skorzystać z FortectIntego, lecz najpierw musisz zdezaktywować wirusa, by odblokować system i uzyskać dostęp do pobrania antywirusa. Jak tego dokonać, nauczysz się z przewodnika znajdującego się na końcu artykułu.

Najnowszy wariant Hermes 2.1 rozprowadza się poprzez dokumenty Office z załączonym exploitem Flasha: Korea Południowa pod ostrzałem

Południowokoreański Zespół Reagowania Kryzysowego (KrCERT) poinformował o ataku wirusa ransomware Hermes 2.1, który obecnie atakuje użytkowników z tego kraju poprzez lukę we Flash Playerze v28.0.0.137 z pomocą rozbudowanego zestawu exploitów znanego jako GreenFlash Sundown. Ten sam zestaw był wcześniej używany przez grupę Lazarus, północnokoreańskich hakerów, którzy ostatnio w taki sposób zaatakowali tajwański bank.

Ransomware jest dostarczany poprzez złośliwe dokumenty Microsoft Word. Te są zaś szeroko rozprowadzane przez kampanie malspamowe. Pierwszy atak nastąpił na przechwyconej południowokoreańskiej stronie pod koniec lutego 2018 roku.

Po uruchomieniu Hermes 2.1, tworzy on plik svchosta.exe file w folderze %TEMP%. Podczas uruchamiania, ofiara jest pytana o uruchomienie skryptu. Nawet, jeśli nie będzie zgody, wirus rozpoczyna szyfrowanie.

Po zaszyfrowaniu, tworzy on plik UNIQUE_ID_DO_NOT_REMOVE, zawierający prywatny klucz RSA oraz żądanie okupu nazwane DECRYPT_INFORMATION.html w folderze C:\Users\Public\. Żądanie okupu zawiera następującą treść:

All your important files are encrypted!

Your files have been encrypted using RSA2048 algorithm with unique public-key stored on your PC.
There is only one way to get your files back: contact with us, pay, and get decryptor software.
We accept Bitcoins, and other cryptocurrencies, you can find exchanges in bestbitcoinexchange.io
You have unique idkey (in a yellow frame), write it in letter when contact with us.
Also you can decrypt 1file for test, its guarantee what we can decrypt your files.

Każdy zaszyfrowany plik otrzymuje rozszerzenie HERMES. Ofiarę prosi się o kontakt z następującymi adresami: pretty040782@gmail.com lub pretty040782@keemail.me. Wysokość okupu jest nieznana – może się ona jednak wahać od 200 do 1500 dolarów.

Badacze ransomware zauważyli interesującą tendencję tego wirusa do nie szyfrowania plików, jeśli zostanie w rejestrze wykryty język rosyjski (0x419), białoruski (423), bądź ukraiński (422). Możemy założyć, że hakerzy z Korei Północnej współpracują z krajami rosyjsko-języcznymi.

Orginalny wariant wirusa Hermes 2.1 znany jao Hermes został złamany. Eksperci stworzyli darmowy dekrypter Hermesa. Mimo mniejszych modyfikacji, podstawowe zachowanie wszystkich wariantów ransomware'a jest bardzo podobne – powinieneś więc spróbować tego darmowego programu.

Jeśli dekrypter nie dał rady odblokować Twoich plików, najlepszym rozwiązaniem będzie kompletnie usunąć Hermesa 2.1, a następnie odzyskać dane z pomocą kopii zapasowych lub alternatywnych metod.

Ci, którzy zastanawiają się, jak się chronić przed tą infekcją mają tylko jedno rozwiązanie – instalację zaufanego antywirusa i trzymanie aktualnych definicji tegoż. Poza tym, trzymaj się z daleka od podejrzanych wiadomości i NIE otwieraj ich załączników.

Typowe wektory ataku ransomware

Niestety, przestępcy korzystają z wielu sposobów dystrybucji, które pomagają im umieszczać ransomware na tylu komputerach, ilu dadzą radę. W rezultacie może być ciężko zidentyfikować potencjalne źródła tego groźnego cyberzagrożenia. W rezultacie może być ciężko zidentyfikować potencjalne źródła tego grożnego wirusa. Chcemy podnieść świadomość użytkowników i pomóc im chronić systemy.

Najczęstszymi drogami, jakimi następują ataki ransomware są:

• Zestawy exploitów;
• Kampanie spamowe;
• Fałszywe aktualizacje i cracki;
• Konie trojańskie.

Biorąc pod uwagę nazwę pliku wykonywalnego, malware najpewniej jest rozpowszechniane obecnie poprzez strony gamingowe. Jeśli chcesz chronić swoje dane, powinieneś unikać takich witryn. Wiadomo też, że pirackie oprogramowanie, keygeny i cracki są popularnym narzędziem wykorzystywanym przez twórców malware.

By ograniczyć możliwości ataku Hermesa 2.1, zainstaluj kilka różnych aplikacji ochronnych. Zachowaj też ostrożność przy czytaniu emaili – szczególnie, jeśli zostały one wysłane przez oficjalne instytucje. Zbadaj treść wiadomości oraz informacje o instytucji, by sprawdzić wiarygodność załącznika.

Instrukcje deinstalacji wirusa Hermes 2.1

Niestety, ransomware są niezwykle niebezpiecznymi cyberzagrożeniami. Nawet eksperci informatyczni mogą mieć problemy z usunięciem Hermesa 2.1 z zaatakowanych systemów. Zwykły użytkownik nie powinien nawet próbować walczyć z tym malware bez jakiejkolwiek pomocy.

Możesz się pozbyć Hermesa 2.1 z pomocą odpowiedniego programu do usuwania malware. Jest to jednak rozbudowany wirus, który może zablokować twój system i zapobiec instalacji antywirusa. Powinieneś zdezaktywować funkcje wirusa uruchamiając komputer w Trybie Awaryjnym.

Instrukcje, jak tego dokonać, znajdują się na końcu artykułu. Dzięki nim będziesz w stanie skorzystać z programu i usunąć Hermesa 2.1. Tylko wtedy możesz przystąpić do odzyskiwania danych. Eksperci z DieViren.de sugerują skorzystanie z darmowego dekryptera Hermesa przygotowanego na oryginalną wersję wirusa.