Virus Ahui adalah keluarga STOP/DJVU dari infeksi jenis ransomware. Virus ini mengenkripsi file Anda (video, foto, dokumen) yang dapat dilacak dengan ekstensi “.ahui” tertentu. Ini menggunakan metode enkripsi yang kuat, yang membuatnya tidak mungkin untuk menghitung kunci dengan cara apa pun.
Ahui menggunakan kunci unik untuk setiap korban, dengan satu pengecualian:
- Jika Ahui tidak dapat membuat koneksi ke server perintah dan kontrolnya (Server C&C) sebelum memulai proses enkripsi, Ahui menggunakan kunci offline. Kunci ini sama untuk semua korban, sehingga memungkinkan untuk mendekripsi file yang dienkripsi selama serangan ransomware.
Saya telah mengumpulkan kumpulan lengkap dari semua kemungkinan solusi, kiat, dan praktik dalam menetralkan virus Ahui dan mendekripsi file. Dalam beberapa kasus, mudah untuk memulihkan file Anda. Dan terkadang itu tidak mungkin.
Ada beberapa metode universal untuk memulihkan file .ahui terenkripsi, yang akan ditunjukkan di bawah ini. Sangat penting untuk membaca seluruh instruksi manual dengan hati-hati dan pastikan untuk memahami semuanya. Jangan melewatkan langkah apa pun. Setiap langkah ini sangat penting dan harus Anda selesaikan.
Ahui virus?
☝️ Ahui dapat diidentifikasi dengan benar sebagai infeksi ransomware STOP/DJVU.
Ahui
🤔 Virus Ahui adalah ransomware yang berasal dari keluarga DJVU/STOP. Tujuan utamanya adalah untuk mengenkripsi file yang penting bagi Anda. Setelah itu virus ransomware meminta korbannya untuk biaya tebusan ($490 – $980) dalam BitCoin.
Ransomware Ahui adalah jenis malware tertentu yang mengenkripsi file Anda dan kemudian memaksa Anda membayar untuk memulihkannya. Keluarga Djvu/STOP ransomware pertama kali diungkapkan dan dianalisis oleh analis virus Michael Gillespie.
Virus Ahui mirip dengan ransomware DJVU lainnya seperti: Neqp, Nerz, Neon. Virus ini mengenkripsi semua jenis file populer dan menambahkan ekstensi khusus “.ahui” ke dalam semua file. Misalnya, file “1.jpg”, akan diubah menjadi “1.jpg.ahui“. Segera setelah enkripsi selesai, virus membuat file pesan khusus “_readme.txt” dan memasukkannya ke dalam semua folder yang berisi file yang dimodifikasi.
Gambar di bawah ini memberikan gambaran yang jelas tentang bagaimana file dengan ekstensi “.ahui” terlihat seperti:
File Ahui (STOP/DJVU Ransomware)
| Nama | Virus Ahui |
| Keluarga Ransomware1 | DJVU/STOP2 ransomware |
| Perpanjangan | .ahui |
| Catatan Ransomware | _readme.txt |
| Tebusan | Dari $490 hingga $980 (dalam Bitcoin) |
| Kontak | [email protected], [email protected] |
| Deteksi | Win32/AutoRun.VB.APF, Ransom:Win32/Grymegat.A, Ransom:MSIL/FileCoder.APAY!MTB |
| Gejala |
|
| Perbaiki Alat |
Untuk menghapus kemungkinan infeksi malware, pindai PC Anda:
Tersedia uji coba gratis 6 hari. |
Teks ini meminta pembayaran untuk mendapatkan file kembali melalui kunci dekripsi:
_readme.txt (STOP/DJVU Ransomware) – Peringatan menakutkan yang menuntut pengguna membayar uang tebusan untuk mendekripsi data yang disandikan berisi peringatan yang membuat frustrasi ini
Ahui ransomware tiba sebagai satu set proses yang dimaksudkan untuk melakukan tugas yang berbeda pada komputer korban. Salah satu yang pertama diluncurkan adalah winupdate.exe, proses rumit yang menampilkan prompt pembaruan Windows palsu selama serangan. Ini dimaksudkan untuk meyakinkan korban bahwa perlambatan sistem yang tiba-tiba disebabkan oleh pembaruan Windows. Namun, pada saat yang sama, ransomware menjalankan proses lain (biasanya dinamai dengan empat karakter acak) yang mulai memindai sistem untuk mencari file target dan mengenkripsinya. Selanjutnya, ransomware menghapus Volume Shadow Copies dari sistem menggunakan perintah CMD berikut:
vssadmin.exe Delete Shadows /All /Quiet
Setelah dihapus, menjadi tidak mungkin memulihkan status komputer sebelumnya menggunakan Titik Pemulihan Sistem. Masalahnya, operator ransomware menyingkirkan metode berbasis OS Windows apa pun yang dapat membantu korban memulihkan file secara gratis. Selain itu, para penjahat memodifikasi file Windows HOSTS dengan menambahkan daftar domain ke dalamnya dan memetakannya ke IP localhost. Akibatnya, korban akan mengalami Galat DNS_PROBE_FINISHED_NXDOMAIN saat mengakses salah satu situs web yang diblokir.
Kami melihat bahwa ransomware mencoba memblokir situs web yang menerbitkan berbagai panduan cara untuk pengguna komputer. Jelas bahwa dengan membatasi domain tertentu, penjahat berusaha mencegah korban mencapai informasi terkait serangan ransomware yang relevan dan bermanfaat secara online. Virus juga menyimpan dua file teks di komputer korban yang memberikan detail terkait serangan – kunci enkripsi publik dan ID pribadi korban. Kedua file ini disebut bowsakkdestx.txt dan PersonalID.txt.
Setelah semua modifikasi ini, malware tidak berhenti. Varian STOP/DJVU cenderung menjatuhkan Trojan pencuri sandi Vidar pada sistem yang disusupi. Ancaman ini memiliki daftar kemampuan yang panjang, seperti:
- Mencuri Steam, Telegram, login / kata sandi Skype;
- Mencuri dompet cryptocurrency;
- Mengunduh malware ke komputer dan menjalankannya;
- Mencuri cookie browser, menyimpan sandi, riwayat penjelajahan, dan banyak lagi;
- Melihat dan memanipulasi file di komputer korban;
- Mengizinkan peretas melakukan tugas lain di komputer korban dari jarak jauh.
Algoritma kriptografi yang digunakan oleh DJVU/STOP ransomware adalah AES-256. Jadi, jika dokumen Anda dienkripsi dengan kunci dekripsi online, itu benar-benar berbeda. Kenyataan yang menyedihkan adalah tidak mungkin mendekripsi file tanpa kunci unik.
Jika Ahui bekerja dalam mode online, Anda tidak mungkin mendapatkan akses ke kunci AES-256. Itu disimpan di server jauh yang dimiliki oleh penipu yang mempromosikan virus Ahui.
Untuk menerima kunci dekripsi, pembayarannya harus $980. Untuk mendapatkan rincian pembayaran, korban didorong oleh pesan untuk menghubungi penipuan melalui email ([email protected]).
Pesan oleh ransomware menyatakan informasi berikut:
ATTENTION! Don't worry, you can return all your files! All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key. The only method of recovering files is to purchase decrypt tool and unique key for you. This software will decrypt all your encrypted files. What guarantees you have? You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information. You can get and look video overview decrypt tool: https://we.tl/t-WJa63R98Ku Price of private key and decrypt software is $980. Discount 50% available if you contact us first 72 hours, that's price for you is $490. Please note that you'll never restore your data without payment. Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours. To get this software you need write on our e-mail: [email protected] Reserve e-mail address to contact us: [email protected] Your personal ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Jangan membayar untuk Ahui!
Silakan, coba gunakan cadangan yang tersedia, atau alat Decrypter
File _readme.txt juga menunjukkan bahwa pemilik komputer harus menghubungi perwakilan Ahui selama 72 jam mulai dari saat file dienkripsi. Dengan syarat menghubungi dalam waktu 72 jam, pengguna akan diberikan potongan harga 50%. Dengan demikian jumlah tebusan akan diminimalkan menjadi $490). Namun, tinggal jauh dari membayar uang tebusan!
Saya sangat menyarankan agar Anda tidak menghubungi penipuan ini dan tidak membayar. Salah satu solusi kerja paling nyata untuk memulihkan data yang hilang – hanya menggunakan cadangan yang tersedia, atau gunakan Decrypter alat.
Keunikan semua virus tersebut menerapkan serangkaian tindakan serupa untuk menghasilkan kunci dekripsi unik untuk memulihkan data yang disandi.
Jadi, kecuali jika ransomware masih dalam tahap pengembangan atau memiliki beberapa kelemahan yang sulit dilacak, memulihkan data tersandi secara manual adalah hal yang tidak dapat Anda lakukan. Satu-satunya solusi untuk mencegah hilangnya data berharga Anda adalah membuat cadangan file penting Anda secara teratur.
Perhatikan bahwa bahkan jika Anda memelihara cadangan tersebut secara teratur, mereka harus ditempatkan di lokasi tertentu tanpa berkeliaran, tidak terhubung ke workstation utama Anda.
Misalnya, cadangan dapat disimpan di flash drive USB atau beberapa penyimpanan hard drive eksternal alternatif. Secara opsional, Anda dapat merujuk ke bantuan penyimpanan informasi online (cloud).
Tidak perlu disebutkan lagi, saat Anda menyimpan data cadangan di perangkat umum Anda, data tersebut mungkin dikodekan dengan cara yang sama seperti halnya data lainnya.
Karena alasan ini, mencari cadangan di PC utama Anda tentu bukan ide yang baik.
Bagaimana saya terinfeksi?
Ransomware memiliki berbagai metode untuk dibangun ke dalam sistem Anda. Tetapi tidak masalah metode apa yang digunakan dalam kasus Anda.
Serangan Ahui menyusul upaya phishing yang berhasil.
- instalasi tersembunyi bersama dengan aplikasi lain, terutama utilitas yang berfungsi sebagai freeware atau shareware;
- tautan meragukan dalam email spam yang mengarah ke penginstal virus
- sumber daya hosting online gratis;
- menggunakan sumber daya peer-to-peer (P2P) ilegal untuk mengunduh perangkat lunak bajakan.
Ada kasus ketika virus Ahui disamarkan sebagai alat yang sah, misalnya, dalam pesan yang menuntut untuk memulai beberapa pembaruan perangkat lunak atau browser yang tidak diinginkan. Ini biasanya cara bagaimana beberapa penipuan online bertujuan untuk memaksa Anda menginstal ransomware Ahui secara manual, dengan benar-benar membuat Anda berpartisipasi langsung dalam proses ini.
Tentunya, peringatan pembaruan palsu tidak akan menunjukkan bahwa Anda akan benar-benar menyuntikkan ransomware. Instalasi ini akan disembunyikan di bawah beberapa peringatan yang menyebutkan bahwa Anda harus memperbarui Adobe Flash Player atau program lain yang meragukan.
Tentu saja, aplikasi yang retak juga mewakili kerusakannya. Menggunakan P2P adalah ilegal dan dapat mengakibatkan injeksi malware serius, termasuk ransomware Ahui.
Singkatnya, apa yang dapat Anda lakukan untuk menghindari injeksi ransomware Ahui ke perangkat Anda? Meskipun tidak ada jaminan 100% untuk mencegah PC Anda rusak, ada beberapa tips yang ingin saya berikan kepada Anda untuk mencegah penetrasi Ahui. Anda harus berhati-hati saat menginstal perangkat lunak gratis hari ini.
Pastikan Anda selalu membaca apa yang ditawarkan penginstal selain program gratis utama. Jauhi membuka lampiran email yang meragukan. Jangan membuka file dari alamat yang tidak dikenal. Tentu saja, program keamanan Anda saat ini harus selalu diperbarui.
Malware tidak berbicara secara terbuka tentang dirinya sendiri. Itu tidak akan disebutkan dalam daftar program Anda yang tersedia. Namun, itu akan disembunyikan di bawah beberapa proses berbahaya yang berjalan secara teratur di latar belakang, mulai dari saat Anda meluncurkan PC Anda.
Bagaimana Menghapus Virus Ahui?
Selain menyandikan file korban, virus Ahui juga mulai menginstal Vidar Stealer di komputer untuk mencuri kredensial akun, dompet cryptocurrency, file desktop, dan banyak lagi.3
Alasan mengapa saya merekomendasikan GridinSoft4
-
Jalankan file pengaturan.
-
Tekan tombol “Instal”.
-
Setelah diinstal, Anti-Malware akan berjalan secara otomatis.
-
Tunggu sampai selesai.
-
Klik “Bersihkan Sekarang”.
Leave a Comment