KITU Virüsü (.kitu Files) — Nasıl + PC 💻 Kurtar

Kitu virüsü, fidye yazılımı türü enfeksiyonların STOP/DJVU ailesidir. Bu virüs, belirli bir “.kitu” uzantısı tarafından izlenebilen dosyalarınızı (video, fotoğraf, belge) şifreler. Anahtarı herhangi bir şekilde hesaplamayı imkansız kılan güçlü bir şifreleme yöntemi kullanır.

Kitu, bir istisna dışında her kurban için benzersiz bir anahtar kullanır:

Kitu, şifreleme işlemine başlamadan komut ve kontrol sunucusuna (C&C Server) bağlantı kuramazsa, offline anahtarı kullanır. Bu anahtar tüm kurbanlar için aynıdır ve fidye yazılımı saldırısı sırasında şifrelenen dosyaların şifresinin çözülmesini mümkün kılar.

Kitu virüsünü etkisiz hale getirmek ve dosyaların şifresini çözmek için tüm olası çözümlerin, ipuçlarının ve uygulamaların eksiksiz bir koleksiyonunu topladım. Bazı durumlarda, dosyalarınızı kurtarmak kolaydır. Ve bazen sadece imkansızdır.

Aşağıda gösterilecek olan şifreli .kitu dosyalarını kurtarmak için birkaç evrensel yöntem vardır. Kullanım kılavuzunun tamamını dikkatlice okumak ve hepsini anladığınızdan emin olmak çok önemlidir. Hiçbir adımı atlamayın. Bu adımların her biri çok önemlidir ve sizin tarafınızdan tamamlanması gerekir.

Kitu virüsü mü?

☝️ Kitu, STOP/DJVU fidye yazılımı enfeksiyonu olarak doğru bir şekilde tanımlanabilir.

Kitu

🤔 Kitu virüsü, DJVU/STOP ailesinden kaynaklanan fidye yazılımıdır. Birincil amacı, sizin için önemli olan dosyaları şifrelemektir. Bundan sonra fidye yazılımı virüsü kurbanlarından BitCoin’de bir fidye ücreti (490 $ – 980 $) ister.

Kitu fidye yazılımı, dosyalarınızı şifreleyen ve ardından onları geri yüklemek için sizi ödemeye zorlayan belirli bir tür kötü amaçlı yazılımdır. Djvu/STOP fidye yazılımı ailesi ilk olarak virüs analisti Michael Gillespie tarafından ortaya çıkarıldı ve analiz edildi.

Kitu virüsü, diğer DJVU fidye yazılımlarına benzer: Kitu, Kizu, Kiqu. Bu virüs tüm popüler dosya türlerini şifreler ve tüm dosyalara özel “.kitu” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.kitu” olarak değiştirilecektir. Şifreleme tamamlanır tamamlanmaz, virüs “_readme.txt” özel bir mesaj dosyası oluşturur ve bunu, değiştirilen dosyaları içeren tüm klasörlere bırakır.

Aşağıdaki resim, “.kitu” uzantılı dosyaların nasıl göründüğüne dair net bir fikir vermektedir:

Kitu Dosyası (STOP/DJVU Fidye Yazılımı)

İsim	Kitu Virüsü
Fidye yazılımı ailesi¹	DJVU/STOP² fidye yazılımı
Eklenti	.kitu
Fidye yazılımı notu	_readme.txt
Fidye	490$ ile 980$ arası (Bitcoin cinsinden)
İletişim	[email protected], [email protected]
Tespit etme	Trojan:MSIL/AgentTesla.GFQ!MTB, Ransom:Win32/Play!ml, GenCBL.Ransom.FileCryptor.DDS
Semptomlar	Dosyalarınızın çoğunu şifreledi (fotoğraflar, videolar, belgeler) ve belirli bir “.kitu” uzantısı ekler; Kurbanın verilerini geri yükleme girişimlerini yapmak için cilt gölge kopyalarını silebilir İmkansız; Güvenlikle ilgili belirli sitelere erişimi engellemek için ana bilgisayarlara bir alan listesi ekler; Şifre çalma truva atı sistem üzerine yükler,Vidar Stealer veya RedLine Stealer; Smokeloader Backdoor yüklemeyi başarır;
Düzeltme Aracı	Olası kötü amaçlı yazılım enfeksiyonlarını kaldırmak için PC’nizi tarayın: 6 günlük ücretsiz deneme mevcuttur.

Ödeme soran bu metin, şifre çözme anahtarı ile dosyaları geri almak içindir:

_Readme.txt (Stop/DJVU Fidye Yazılımı) – Kodlanan verilerin şifresini çözmesi için fidye ödemelerini talep eden bu sinir bozucu uyarıları içeriyor.

Kitu Ransomware, bir kurbanın bilgisayarında farklı görevler gerçekleştirmeyi amaçlayan bir dizi süreç olarak gelir. Başlatılan ilklerden biri, saldırı sırasında sahte bir Windows güncelleme istemini gösteren zor bir süreç olan winupdate.exe’dir. Bu, kurbanı bir Windows güncellemesinden ani bir sistem yavaşlamasına neden olduğuna ikna etmek içindir. Bununla birlikte, aynı zamanda, fidye yazılımı, hedef dosyalar için sistemi taramaya ve bunları şifrelemeye başlayan başka bir işlem (genellikle dört rastgele karakter tarafından adlandırılır) çalıştırır. Ardından, fidye yazılımı, aşağıdaki CMD komutunu kullanarak Sistemden Sesli Gölge Kopyalarını Siler:

vssadmin.exe Delete Shadows /All /Quiet

Silindikten sonra, önceki bilgisayar durumu sistem geri yükleme noktalarını kullanarak geri yükleme imkansız hale gelir. Mesele şu ki, fidye yazılımı operatörleri, kurbanın dosyaları ücretsiz olarak geri yüklemesine yardımcı olabilecek Windows işletim sistemi tabanlı yöntemlerden kurtuluyor. Buna ek olarak, Crooks, bir alan adlarının listesi ekleyerek ve bunları Localhost IP ile eşleyerek Windows ana bilgisayar dosyasını değiştirir. Sonuç olarak, kurban, bloke edilen web sitelerinden birine erişirken dns_probe_finished_nxdoain hatası ile karşılaşacak.

Fidye yazılımının bilgisayar kullanıcıları için çeşitli nasıl yapılır kılavuzları yayınlayan web sitelerini engellemeye çalıştığını fark ettik. Belirli alanları kısıtlayarak, dolandırıcıların kurbanın alakalı ve yararlı fidye yazılımı saldırıları ile ilgili bilgilere çevrimiçi olarak ulaşmasını engellemeye çalıştığı açıktır. Virüs ayrıca kurbanın bilgisayarına saldırı ile ilgili ayrıntılar sağlayan iki metin dosyası kaydeder-kurbanın genel şifreleme anahtarı ve kişisel kimliği. Bu iki dosyaya bowsakkdestx.txt ve kişiseld.txt denir.

Tüm bu değişikliklerden sonra, kötü amaçlı yazılım durmaz. Stop/djvu varyantları, uzlaşılmış sistemlerde Vidar şifre çalma Truva atını bırakma eğilimindedir. Bu tehdidin uzun bir yetenek listesi var, örneğin:

Buhar, telgraf, skype giriş / şifre çalmak;
Kripto para cüzdanlarını çalmak;
Bilgisayara kötü amaçlı yazılım indirme ve çalıştırma;
Tarayıcı çerezlerini çalmak, şifreleri kaydetme, tarama geçmişi ve daha fazlası;
Mağdurun bilgisayarındaki dosyaları görüntüleme ve manipüle etme;
Bilgisayar korsanlarının kurbanın bilgisayarında uzaktan başka görevleri yerine getirmesine izin vermek.

DJVU/Stop Fidyeware tarafından kullanılan kriptografi algoritması AES-256’dır. Dolayısıyla, belgeleriniz tamamen farklı bir çevrimiçi şifre çözme anahtarı ile şifrelenirse. Üzücü gerçek şu ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır.

Kitu’ın çevrimiçi modda çalışması durumunda, AES-256 anahtarına erişmeniz imkansızdır. Kitu virüsünü tanıtan sahtekarlıklara ait uzak bir sunucuda saklanır.

Şifreleme anahtarı almak için ödeme 980 $ olmalıdır. Ödeme detaylarını elde etmek için, kurbanlar mesajla dolandırıcılıklarla e -posta ile iletişim kurmaya teşvik edilir ([email protected]).

Kitu için ödeme yapmayın!

Lütfen, mevcut yedeklemeleri veya DelryPter aracını kullanmayı deneyin

_readme.txt dosyası, bilgisayar sahiplerinin dosya anından itibaren 72 saat boyunca Kitu temsilcileriyle temasa geçmesi gerektiğini de gösterir. 72 saat içinde temasa geçme koşulunda, kullanıcılara% 50 indirim verilecektir. Böylece fidye miktarı 490 dolara kadar en aza indirilecektir). Ancak, fidye ödemekten uzak durun!

Bu sahtekarlıklarla temasa geçmemenizi ve ödememenizi şiddetle tavsiye ederim. Kayıp verileri kurtarmak için en gerçek çalışan çözümlerden biri-sadece mevcut yedeklemeleri kullanarak veya Decrypter kullanın Araç .

Bu tür tüm virüslerin tuhaflığı, şifreli verileri kurtarmak için benzersiz şifre çözme anahtarını oluşturmak için benzer bir eylem kümesi uygular.

Bu nedenle, fidye yazılımı hala geliştirme aşaması altında değilse veya bazı izlenmesi zor kusurlara sahip olmadıkça, şifreli verileri manuel olarak kurtarmak, gerçekleştiremeyeceğiniz bir şeydir. Değerli verilerinizin kaybını önleyen tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak yapmaktır.

Bu tür yedeklemeleri düzenli olarak korumuş olsanız bile, ana iş istasyonunuza bağlı kalmadan, loitering olmadan belirli bir yere konmaları gerektiğini unutmayın.

Örneğin, yedekleme USB flash sürücüsünde veya bazı alternatif harici sabit sürücü depolamasında tutulabilir. İsteğe bağlı olarak, çevrimiçi (bulut) bilgi depolama yardımına başvurabilirsiniz.

Bahsetmeye gerek yok, yedekleme verilerinizi ortak cihazınızda tuttuğunuzda, benzer şekilde şifre ve diğer veriler olabilir.

Bu nedenle, ana bilgisayarınızda yedeklemeyi bulmak kesinlikle iyi bir fikir değildir.

Nasıl enfekte oldum?

Ransomware, sisteminize dahil etmek için çeşitli yöntemlere sahiptir. Ancak sizin durumunuzda hangi yöntemin kullanıldığı gerçekten önemli değil.

Başarılı bir kimlik avı girişiminden sonra Kitu saldırısı.

[Dropcap] Yine de [/Dropcap], bunlar PC’nize enjekte edilebileceği ortak sızıntılardır:

Gizli kurulum, diğer uygulamalarla birlikte, özellikle ücretsiz veya shareware olarak çalışan yardımcı programlar;
Virüs yükleyicisine yol açan spam e -postalarında şüpheli bağlantı
Çevrimiçi ücretsiz barındırma kaynakları;
Korsan yazılımı indirmek için yasadışı eşler arası (P2P) kaynaklar kullanma.

Kitu virüsünün bazı meşru araç olarak gizlendiği durumlar vardı, örneğin bazı istenmeyen yazılımlar veya tarayıcı güncellemeleri başlatmayı talep eden mesajlarda. Bu genellikle bazı çevrimiçi sahtekarlıkların sizi bu sürece doğrudan katılmanızı sağlayarak, Kitu fidye yazılımlarını manuel olarak kurmaya zorlamayı amaçlamaktadır.

Şüphesiz, sahte güncelleme uyarısı, fidye yazılımlarını aslında enjekte edeceğinizi göstermez. Bu kurulum, Adobe Flash Player’ı veya başka bir şüpheli programı güncellemeniz gerektiği iddia edilen bazı uyarılar altında gizlenecektir.

Tabii ki, çatlak uygulamalar da hasarı temsil ediyor. P2P kullanmak hem yasadışıdır hem de Kitu fidye yazılımı da dahil olmak üzere ciddi kötü amaçlı yazılımların enjeksiyonuna neden olabilir.

Özetlemek gerekirse, Kitu Ransomware’in cihazınıza enjeksiyonundan kaçınmak için ne yapabilirsiniz? PC’nizin hasar görmesini önlemek için% 100 garanti olmasa da, Kitu penetrasyonunu önlemek için size vermek istediğim bazı ipuçları var. Bugün ücretsiz yazılım yüklerken dikkatli olmalısınız.

Ana ücretsiz programa ek olarak her zaman yükleyicilerin ne sunduğunu okuduğunuzdan emin olun. Şüpheli e -posta ekleri açmaktan uzak durun. Bilinmeyen muhataplardan dosya açmayın. Tabii ki, mevcut güvenlik programınız her zaman güncellenmelidir.

Kötü amaçlı yazılım kendisi hakkında açıkça konuşmaz. Mevcut programlarınız listesinde belirtilmeyecektir. Bununla birlikte, PC’nizi başlattığınız andan itibaren arka planda düzenli olarak çalışan bazı kötü niyetli işlemler altında maskelenecektir.