KITZ Virus (.kitz File) Ransomware – Hapus & Dekripsi File

by Brendan Smith
April 5, 2023

Kitz menggunakan kunci unik untuk setiap korban, dengan satu pengecualian:

  • Jika Kitz tidak dapat membuat koneksi ke server perintah dan kontrolnya (Server C&C) sebelum memulai proses enkripsi, Kitz menggunakan kunci offline. Kunci ini sama untuk semua korban, sehingga memungkinkan untuk mendekripsi file yang dienkripsi selama serangan ransomware.

Saya telah mengumpulkan kumpulan lengkap dari semua kemungkinan solusi, kiat, dan praktik dalam menetralkan virus Kitz dan mendekripsi file. Dalam beberapa kasus, mudah untuk memulihkan file Anda. Dan terkadang itu tidak mungkin.

Ada beberapa metode universal untuk memulihkan file .kitz terenkripsi, yang akan ditunjukkan di bawah ini. Sangat penting untuk membaca seluruh instruksi manual dengan hati-hati dan pastikan untuk memahami semuanya. Jangan melewatkan langkah apa pun. Setiap langkah ini sangat penting dan harus Anda selesaikan.

Kitz virus?

☝️ Kitz dapat diidentifikasi dengan benar sebagai infeksi ransomware STOP/DJVU.

Kitz

🤔 Virus Kitz adalah ransomware yang berasal dari keluarga DJVU/STOP. Tujuan utamanya adalah untuk mengenkripsi file yang penting bagi Anda. Setelah itu virus ransomware meminta korbannya untuk biaya tebusan ($490 – $980) dalam BitCoin.

Ransomware Kitz adalah jenis malware tertentu yang mengenkripsi file Anda dan kemudian memaksa Anda membayar untuk memulihkannya. Keluarga Djvu/STOP ransomware pertama kali diungkapkan dan dianalisis oleh analis virus Michael Gillespie.

Virus Kitz mirip dengan ransomware DJVU lainnya seperti: Pozd, Pozq, Powd. Virus ini mengenkripsi semua jenis file populer dan menambahkan ekstensi khusus “.kitz” ke dalam semua file. Misalnya, file “1.jpg”, akan diubah menjadi “1.jpg.kitz“. Segera setelah enkripsi selesai, virus membuat file pesan khusus “_readme.txt” dan memasukkannya ke dalam semua folder yang berisi file yang dimodifikasi.

Gambar di bawah ini memberikan gambaran yang jelas tentang bagaimana file dengan ekstensi “.kitz” terlihat seperti:

Kitz Virus - encrypted .kitz files

File Kitz (STOP/DJVU Ransomware)

Nama Virus Kitz
Keluarga Ransomware1 DJVU/STOP2 ransomware
Perpanjangan .kitz
Catatan Ransomware _readme.txt
Tebusan Dari $490 hingga $980 (dalam Bitcoin)
Kontak [email protected], [email protected]
Deteksi Trojan.Ransom.VirLock, Ransom:MSIL/Cryptolocker.EK!MTB, Ransom:Win32/MedusaLocker.B!MTB
Gejala
  • Mengenkripsi sebagian besar file Anda (foto, video, dokumen) dan menambahkan ekstensi “.kitz” tertentu;
  • Dapat menghapus salinan Volume Shadow untuk membuat upaya korban untuk memulihkan data menjadi tidak mungkin;
  • Menambahkan daftar domain ke file HOSTS untuk memblokir akses ke situs terkait keamanan tertentu;
  • Menginstal Trojan pencuri sandi pada sistem, seperti Vidar Stealer atau RedLine Stealer;
  • Berhasil memasang SmokeLoader Backdoor;
Perbaiki Alat Untuk menghapus kemungkinan infeksi malware, pindai PC Anda:
Tersedia uji coba gratis 6 hari.

Teks ini meminta pembayaran untuk mendapatkan file kembali melalui kunci dekripsi:

_readme.txt (STOP/DJVU Ransomware)

_readme.txt (STOP/DJVU Ransomware) – Peringatan menakutkan yang menuntut pengguna membayar uang tebusan untuk mendekripsi data yang disandikan berisi peringatan yang membuat frustrasi ini

Kitz ransomware tiba sebagai satu set proses yang dimaksudkan untuk melakukan tugas yang berbeda pada komputer korban. Salah satu yang pertama diluncurkan adalah winupdate.exe, proses rumit yang menampilkan prompt pembaruan Windows palsu selama serangan. Ini dimaksudkan untuk meyakinkan korban bahwa perlambatan sistem yang tiba-tiba disebabkan oleh pembaruan Windows. Namun, pada saat yang sama, ransomware menjalankan proses lain (biasanya dinamai dengan empat karakter acak) yang mulai memindai sistem untuk mencari file target dan mengenkripsinya. Selanjutnya, ransomware menghapus Volume Shadow Copies dari sistem menggunakan perintah CMD berikut:

vssadmin.exe Delete Shadows /All /Quiet

Setelah dihapus, menjadi tidak mungkin memulihkan status komputer sebelumnya menggunakan Titik Pemulihan Sistem. Masalahnya, operator ransomware menyingkirkan metode berbasis OS Windows apa pun yang dapat membantu korban memulihkan file secara gratis. Selain itu, para penjahat memodifikasi file Windows HOSTS dengan menambahkan daftar domain ke dalamnya dan memetakannya ke IP localhost. Akibatnya, korban akan mengalami Galat DNS_PROBE_FINISHED_NXDOMAIN saat mengakses salah satu situs web yang diblokir.

Kami melihat bahwa ransomware mencoba memblokir situs web yang menerbitkan berbagai panduan cara untuk pengguna komputer. Jelas bahwa dengan membatasi domain tertentu, penjahat berusaha mencegah korban mencapai informasi terkait serangan ransomware yang relevan dan bermanfaat secara online. Virus juga menyimpan dua file teks di komputer korban yang memberikan detail terkait serangan – kunci enkripsi publik dan ID pribadi korban. Kedua file ini disebut bowsakkdestx.txt dan PersonalID.txt.

Kitz ransomware virus saves public encryption key and victim's id in bowsakkdestx.txt file

Setelah semua modifikasi ini, malware tidak berhenti. Varian STOP/DJVU cenderung menjatuhkan Trojan pencuri sandi Vidar pada sistem yang disusupi. Ancaman ini memiliki daftar kemampuan yang panjang, seperti:

  • Mencuri Steam, Telegram, login / kata sandi Skype;
  • Mencuri dompet cryptocurrency;
  • Mengunduh malware ke komputer dan menjalankannya;
  • Mencuri cookie browser, menyimpan sandi, riwayat penjelajahan, dan banyak lagi;
  • Melihat dan memanipulasi file di komputer korban;
  • Mengizinkan peretas melakukan tugas lain di komputer korban dari jarak jauh.

Algoritma kriptografi yang digunakan oleh DJVU/STOP ransomware adalah AES-256. Jadi, jika dokumen Anda dienkripsi dengan kunci dekripsi online, itu benar-benar berbeda. Kenyataan yang menyedihkan adalah tidak mungkin mendekripsi file tanpa kunci unik.

Jika Kitz bekerja dalam mode online, Anda tidak mungkin mendapatkan akses ke kunci AES-256. Itu disimpan di server jauh yang dimiliki oleh penipu yang mempromosikan virus Kitz.

Untuk menerima kunci dekripsi, pembayarannya harus $980. Untuk mendapatkan rincian pembayaran, korban didorong oleh pesan untuk menghubungi penipuan melalui email ([email protected]).

Pesan oleh ransomware menyatakan informasi berikut:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

[email protected]

Reserve e-mail address to contact us:

[email protected]

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Jangan membayar untuk Kitz!

Silakan, coba gunakan cadangan yang tersedia, atau alat Decrypter

File _readme.txt juga menunjukkan bahwa pemilik komputer harus menghubungi perwakilan Kitz selama 72 jam mulai dari saat file dienkripsi. Dengan syarat menghubungi dalam waktu 72 jam, pengguna akan diberikan potongan harga 50%. Dengan demikian jumlah tebusan akan diminimalkan menjadi $490). Namun, tinggal jauh dari membayar uang tebusan!

Saya sangat menyarankan agar Anda tidak menghubungi penipuan ini dan tidak membayar. Salah satu solusi kerja paling nyata untuk memulihkan data yang hilang – hanya menggunakan cadangan yang tersedia, atau gunakan Decrypter alat.

Keunikan semua virus tersebut menerapkan serangkaian tindakan serupa untuk menghasilkan kunci dekripsi unik untuk memulihkan data yang disandi.

Jadi, kecuali jika ransomware masih dalam tahap pengembangan atau memiliki beberapa kelemahan yang sulit dilacak, memulihkan data tersandi secara manual adalah hal yang tidak dapat Anda lakukan. Satu-satunya solusi untuk mencegah hilangnya data berharga Anda adalah membuat cadangan file penting Anda secara teratur.

Perhatikan bahwa bahkan jika Anda memelihara cadangan tersebut secara teratur, mereka harus ditempatkan di lokasi tertentu tanpa berkeliaran, tidak terhubung ke workstation utama Anda.

Misalnya, cadangan dapat disimpan di flash drive USB atau beberapa penyimpanan hard drive eksternal alternatif. Secara opsional, Anda dapat merujuk ke bantuan penyimpanan informasi online (cloud).

Tidak perlu disebutkan lagi, saat Anda menyimpan data cadangan di perangkat umum Anda, data tersebut mungkin dikodekan dengan cara yang sama seperti halnya data lainnya.

Karena alasan ini, mencari cadangan di PC utama Anda tentu bukan ide yang baik.

Bagaimana saya terinfeksi?

Ransomware memiliki berbagai metode untuk dibangun ke dalam sistem Anda. Tetapi tidak masalah metode apa yang digunakan dalam kasus Anda.

Kitz ransomware attack

Serangan Kitz menyusul upaya phishing yang berhasil.

Namun demikian, ini adalah kebocoran umum yang dapat disuntikkan ke PC Anda:
  • instalasi tersembunyi bersama dengan aplikasi lain, terutama utilitas yang berfungsi sebagai freeware atau shareware;
  • tautan meragukan dalam email spam yang mengarah ke penginstal virus
  • sumber daya hosting online gratis;
  • menggunakan sumber daya peer-to-peer (P2P) ilegal untuk mengunduh perangkat lunak bajakan.

Ada kasus ketika virus Kitz disamarkan sebagai alat yang sah, misalnya, dalam pesan yang menuntut untuk memulai beberapa pembaruan perangkat lunak atau browser yang tidak diinginkan. Ini biasanya cara bagaimana beberapa penipuan online bertujuan untuk memaksa Anda menginstal ransomware Kitz secara manual, dengan benar-benar membuat Anda berpartisipasi langsung dalam proses ini.

Tentunya, peringatan pembaruan palsu tidak akan menunjukkan bahwa Anda akan benar-benar menyuntikkan ransomware. Instalasi ini akan disembunyikan di bawah beberapa peringatan yang menyebutkan bahwa Anda harus memperbarui Adobe Flash Player atau program lain yang meragukan.

Tentu saja, aplikasi yang retak juga mewakili kerusakannya. Menggunakan P2P adalah ilegal dan dapat mengakibatkan injeksi malware serius, termasuk ransomware Kitz.

Singkatnya, apa yang dapat Anda lakukan untuk menghindari injeksi ransomware Kitz ke perangkat Anda? Meskipun tidak ada jaminan 100% untuk mencegah PC Anda rusak, ada beberapa tips yang ingin saya berikan kepada Anda untuk mencegah penetrasi Kitz. Anda harus berhati-hati saat menginstal perangkat lunak gratis hari ini.

Pastikan Anda selalu membaca apa yang ditawarkan penginstal selain program gratis utama. Jauhi membuka lampiran email yang meragukan. Jangan membuka file dari alamat yang tidak dikenal. Tentu saja, program keamanan Anda saat ini harus selalu diperbarui.

Malware tidak berbicara secara terbuka tentang dirinya sendiri. Itu tidak akan disebutkan dalam daftar program Anda yang tersedia. Namun, itu akan disembunyikan di bawah beberapa proses berbahaya yang berjalan secara teratur di latar belakang, mulai dari saat Anda meluncurkan PC Anda.

Bagaimana Menghapus Virus Kitz?

Selain menyandikan file korban, virus Kitz juga mulai menginstal Vidar Stealer di komputer untuk mencuri kredensial akun, dompet cryptocurrency, file desktop, dan banyak lagi.3
Alasan mengapa saya merekomendasikan GridinSoft4

  1. Jalankan file pengaturan.

    Run Setup.exe
    GridinSoft Anti-Malware Setup

  2. Tekan tombol “Instal”.

    GridinSoft Anti-Malware Install

  3. Setelah diinstal, Anti-Malware akan berjalan secara otomatis.

    GridinSoft Anti-Malware Splash-Screen

  4. Tunggu sampai selesai.

    GridinSoft Anti-Malware Scanning

  5. Klik “Bersihkan Sekarang”.

    GridinSoft Anti-Malware Scan Result

About the author

Brendan Smith

Cybersecurity analyst covering malware families, suspicious files, and detection alerts. Brendan focuses on clear explanations of what a warning means, when it may be a false positive, and which cleanup steps are appropriate.

View all posts

Leave a Comment