Как удалить программу-вымогатель Zorro (Руководство по удалению вирусов)

Если ваши документы зашифрованы с расширением .aurora, значит, ваш компьютер заражен программой-вымогателем Zorro. Zorro — это программа-вымогатель для шифрования файлов, которая шифрует личные документы, найденные на компьютере жертвы, с помощью ключа RSA-2048 (256-битный алгоритм шифрования AES CBC), а затем отображает сообщение, предлагающее расшифровать данные, если платеж в размере 500 долларов США в биткойнах сделал. Инструкции помещаются на рабочий стол жертвы в файлах! -GET_MY_FILES — !. txt, # RECOVERY-PC # .txt или @ _RESTORE-FILES _ @. Txt.

Мы не можем помочь вам восстановить ваши файлы, и мы рекомендуем вам использовать ShadowExplorer или бесплатное программное обеспечение для восстановления файлов для восстановления ваших документов.

Это руководство было написано, чтобы помочь вам удалить саму инфекцию, и если будет найден 100% проверенный метод восстановления зашифрованных файлов, мы обновим это руководство.

Инструмент-вымогатель Zorro недоступен для дешифрования. Однако вы можете попробовать поискать обновления на следующих веб-страницах:

https://www.nomoreransom.org/ro/index.html

https://decrypter.emsisoft.com/

https://noransom.kaspersky.com/

https://www.avast.com/ransomware-decryption-tools

1. Как вымогатель Zorro попал на мой компьютер?

Программа-вымогатель Zorro распространяется через спам-сообщения, содержащие зараженные вложения или ссылки на вредоносные веб-сайты. Киберпреступники рассылают электронное письмо с поддельной информацией в заголовке, заставляя вас поверить в то, что оно отправлено транспортной компанией, такой как DHL или FedEx. В письме сообщается, что они пытались доставить вам посылку, но по какой-то причине не смогли. Иногда электронные письма якобы являются уведомлениями о доставке, которую вы сделали. В любом случае, вы не можете устоять перед любопытством относительно того, о чем идет речь в электронном письме, и откройте прикрепленный файл (или щелкните ссылку, встроенную в электронное письмо). И при этом ваш компьютер заражен вымогателем Zorro.

2. Что такое программа-вымогатель Zorro?

Программа-вымогатель Zorro ограничивает доступ к данным, шифруя файлы. Затем он пытается вымогать деньги у жертв, запрашивая «выкуп» в виде криптовалюты Биткойн в обмен на доступ к данным.

Программа-вымогатель Zorro нацелена на все версии Windows, включая Windows 7, Windows 8.1 и Windows 10. Эта инфекция примечательна тем, как она шифрует файлы пользователя, а именно использует метод шифрования AES-265 и RSA, чтобы гарантировать, что зараженные у пользователя нет выбора, кроме как приобрести закрытый ключ.

Когда программа-вымогатель Zorro впервые устанавливается на ваш компьютер, она создает исполняемый файл со случайным именем в папке% AppData% или% LocalAppData%. Этот исполняемый файл будет запущен и начнет сканировать все буквы дисков на вашем компьютере в поисках файлов данных, которые нужно зашифровать.

Программа-вымогатель Zorro ищет файлы с определенными расширениями для шифрования. К файлам, которые он шифрует, относятся важные документы и файлы, такие как .doc, .docx, .xls, .pdf и другие. Когда эти файлы будут обнаружены, эта инфекция изменит расширение на Aurora, поэтому их больше нельзя будет открыть.
Программа-вымогатель Zorro изменяет имя каждого зашифрованного файла на следующий формат: (имя-файла) .aurora.

Целевые файлы — это те, которые сегодня обычно встречаются на большинстве ПК; список расширений файлов для целевых файлов включает:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg,. hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba,. rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe,. jpg, .cdr, .indd, .ai, .eps, .pdf,. pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

После того, как ваши файлы будут зашифрованы с расширением Aurora, программа-вымогатель Zorro создаст записку с выкупом за файл! -GET_MY_FILES — !. txt, # RECOVERY-PC # .txt или @ _RESTORE-FILES _ @. Txt в каждой папке, содержащей файл. был зашифрован и на рабочем столе Windows.

Эти файлы находятся в каждой папке, в которой файл был зашифрован, а также в папке автозагрузки пользователя, поэтому они автоматически отображаются при входе пользователя в систему. Эти файлы будут содержать информацию о том, как получить доступ к сайту оплаты и вернуть ваши файлы. .

Когда заражение завершит сканирование вашего компьютера, оно также удалит все теневые копии томов, находящиеся на зараженном компьютере. Это сделано для того, чтобы вы не могли использовать теневые копии томов для восстановления зашифрованных файлов.

3. Заражен ли мой компьютер программой-вымогателем Zorro?

Когда программа-вымогатель Zorro заражает ваш компьютер, она просканирует все буквы дисков на предмет целевых типов файлов, зашифрует их, а затем добавит к ним расширение .aurora. После того, как эти файлы будут зашифрованы, они больше не будут открываться вашими обычными программами. Когда эта программа-вымогатель завершит шифрование файлов жертвы, она изменит обои рабочего стола на изображение, которое действует как записка с требованием выкупа. Он также отобразит HTML-заметку о выкупе в вашем браузере по умолчанию. Эти примечания о выкупе включают инструкции о том, как подключиться к службе расшифровки, где вы можете узнать больше о том, что случилось с вашими файлами и как вы можете произвести платеж.

Сообщения, отображаемые этим вирусом-вымогателем, могут быть локализованы в зависимости от местоположения пользователя с текстом, написанным на соответствующем языке.
Это сообщение, которое отобразит программа-вымогатель Zorro (! -GET_MY_FILES — !. txt, # RECOVERY-PC # .txt или @ _RESTORE-FILES _ @. Txt):

========================== # zorro ransomware # ==================== ======
ИЗВИНЯЮСЬ! Ваши файлы зашифрованы.
Содержимое файла зашифровано случайным ключом.
Случайный ключ зашифрован открытым ключом RSA (2048 бит).
НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ НЕ использовать какие-либо «инструменты дешифрования».
Эти инструменты могут повредить ваши данные, делая восстановление НЕВОЗМОЖНЫМ.
Также рекомендуем не связываться с компаниями по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам необходимо получить у нас RSA-ключ.
—
Чтобы получить RSA-ключ, выполните следующие действия по порядку:
1. перечислите эту сумму 500 $ на этот BTC-кошелек: 18sj1xr86c3YHK44Mj2AXAycEsT2QLUFac
2. напишите на электронную почту ochennado@tutanota.com или anastacialove21@mail.com указав в письме этот ID- [id] и BTC-кошелек, с которого производилась оплата.
В ответном письме вы получите RSA-ключ и инструкции, что делать дальше.
Мы гарантируем вам восстановление файлов, если вы все сделаете правильно.
========================== # zorro ransomware # ==================== ======

4. Можно ли расшифровать файлы, зашифрованные с помощью программы-вымогателя Zorro?

Нет, в настоящее время невозможно восстановить файлы, зашифрованные программой-вымогателем Zorro.

Программа-вымогатель Zorro примечательна тем, как она шифрует файлы пользователя, а именно использует метод шифрования AES-265 и RSA, чтобы у пострадавшего пользователя не оставалось выбора, кроме как приобрести закрытый ключ. Открытый ключ RSA можно расшифровать только с помощью соответствующего закрытого ключа. Поскольку ключ AES скрыт с использованием шифрования RSA, а закрытый ключ RSA недоступен, на момент написания этой статьи дешифрование файлов невозможно.

Грубая форсировка ключа дешифрования нереальна из-за продолжительности времени, необходимого для взлома ключа шифрования AES. К сожалению, после завершения шифрования данных дешифрование невозможно без уплаты выкупа.
Поскольку необходимый закрытый ключ для разблокировки зашифрованного файла доступен только киберпреступникам, у жертв может возникнуть соблазн купить его и заплатить непомерную плату. Однако это может побудить этих плохих парней продолжить и даже расширить свою деятельность. Мы настоятельно рекомендуем вам не отправлять деньги этим киберпреступникам, а вместо этого обратиться в правоохранительные органы вашей страны, чтобы сообщить об этой атаке.

5. Как удалить программу-вымогатель Zorro (Руководство по удалению вирусов)

Важно понимать, что, начав процесс удаления, вы рискуете потерять свои файлы, поскольку мы не можем гарантировать, что вы сможете их восстановить. Кроме того, ваши файлы могут быть навсегда скомпрометированы при попытке удалить эту инфекцию или при попытке восстановить зашифрованные документы.

Эта страница представляет собой подробное руководство, которое позволит удалить программу-вымогатель Zorro с вашего компьютера, однако мы не можем гарантировать, что ваши личные файлы будут восстановлены. Мы не несем ответственности за потерю документов во время этого процесса удаления.
Malwarebytes и HitmanPro могут обнаружить и удалить эту инфекцию, но эти программы не могут восстановить ваши зашифрованные файлы.

ШАГ 1. Используйте Malwarebytes, чтобы удалить программу-вымогатель Zorro

Malwarebytes — одно из самых популярных и наиболее часто используемых программ для защиты от вредоносных программ для Windows, и на то есть веские причины. Он способен уничтожать многие типы вредоносных программ, которые другие программы обычно пропускают, при этом вам абсолютно ничего не стоит. Когда дело доходит до очистки зараженного устройства, Malwarebytes всегда был бесплатным, и мы рекомендуем его как важный инструмент в борьбе с вредоносными программами.

При первой установке Malwarebytes вы получаете бесплатную 14-дневную пробную версию премиум-версии, которая включает превентивные инструменты, такие как сканирование в реальном времени и специальную защиту от программ-вымогателей. Через две недели он автоматически возвращается к базовой бесплатной версии, которая обнаруживает и устраняет вредоносные программы только при запуске сканирования. Важно отметить, что Malwarebytes будет работать вместе с антивирусным программным обеспечением без конфликтов.

1. Загрузите Malwarebytes.

   Вы можете скачать Malwarebytes, щелкнув ссылку ниже.

   ВРЕДОНОСНЫЕ БАЙТЫ СКАЧАТЬ ССЫЛКУ
   (Ссылка выше открывает новую страницу, с которой вы можете загрузить Malwarebytes)

2. Дважды щелкните установочный файл Malwarebytes.

   По завершении загрузки Malwarebytes дважды щелкните файл mb3-setup-consumer-x.x.x.xxxx.exe, чтобы установить Malwarebytes на свой компьютер. В большинстве случаев загруженные файлы сохраняются в папке «Загрузки».

   
   Вам может быть представлено всплывающее окно управления учетными записями пользователей с вопросом, хотите ли вы разрешить Malwarebytes вносить изменения в ваше устройство. В этом случае следует нажать «Да», чтобы продолжить установку.
   

3. Следуйте инструкциям на экране, чтобы установить Malwarebytes.

   Когда начнется установка Malwarebytes, вы увидите мастер установки Malwarebytes, который проведет вас через процесс установки. Чтобы установить Malwarebytes на свой компьютер, нажмите кнопку «Принять и установить».
   
   

4. Щелкните «Сканировать сейчас».

   После установки Malwarebytes автоматически запустится и обновит антивирусную базу. Чтобы выполнить сканирование системы, нажмите кнопку «Сканировать сейчас».
   

5. Дождитесь завершения сканирования Malwarebytes.

   Malwarebytes начнет сканирование вашего компьютера на наличие рекламного ПО и других вредоносных программ. Этот процесс может занять несколько минут, поэтому мы предлагаем вам заняться чем-нибудь еще и периодически проверять статус сканирования, чтобы узнать, когда оно будет завершено.
   

6. Щелкните «Карантин выбран».

   Когда сканирование будет завершено, вам будет представлен экран, показывающий вредоносные программы, обнаруженные Malwarebytes. Чтобы удалить вредоносные программы, обнаруженные Malwarebytes, нажмите кнопку «Поместить в карантин».
   

7. Перезагрузите компьютер.

   Malwarebytes теперь удалит все обнаруженные вредоносные файлы и ключи реестра. Чтобы завершить процесс удаления вредоносного ПО, Malwarebytes может попросить вас перезагрузить компьютер.
   
   Когда процесс удаления вредоносных программ будет завершен, вы можете закрыть Malwarebytes и продолжить выполнение остальных инструкций.

ШАГ 2. Используйте HitmanPro для поиска вредоносных и нежелательных программ.

HitmanPro — это второй сканер мнений, использующий уникальный облачный подход к сканированию вредоносных программ. HitmanPro сканирует поведение активных файлов, а также файлов в местах, где обычно находятся вредоносные программы, на предмет подозрительной активности. Если он обнаруживает подозрительный файл, который еще не известен, HitmanPro отправляет его в свои облака для проверки двумя лучшими антивирусными движками на сегодняшний день, которыми являются Bitdefender и Kaspersky.

Хотя HitmanPro является условно-бесплатным ПО и стоит 24,95 долларов в год на 1 ПК, на самом деле ограничений на сканирование нет. Ограничение срабатывает только тогда, когда есть необходимость удалить или поместить в карантин вредоносное ПО, обнаруженное HitmanPro в вашей системе, и к тому времени вы можете активировать одноразовую 30-дневную пробную версию, чтобы включить очистку.

1. Загрузите HitmanPro.

   Вы можете скачать HitmanPro, перейдя по ссылке ниже.

   СКАЧАТЬ ССЫЛКУ HITMANPRO
   (Приведенная выше ссылка откроет новую веб-страницу, с которой вы сможете скачать HitmanPro)

2. Установите HitmanPro.

   Когда HitmanPro завершит загрузку, дважды щелкните «hitmanpro.exe» (для 32-разрядных версий Windows) или «hitmanpro_x64.exe» (для 64-разрядных версий Windows), чтобы установить эту программу на свой компьютер. В большинстве случаев загруженные файлы сохраняются в папке «Загрузки».
   
   Вам может быть представлено всплывающее окно «Контроль учетных записей» с вопросом, хотите ли вы разрешить HitmanPro вносить изменения в ваше устройство. В этом случае следует нажать «Да», чтобы продолжить установку.

3. Следуйте инструкциям на экране.

   Когда HitmanPro запустится, вам будет представлен стартовый экран, как показано ниже. Нажмите кнопку «Далее», чтобы выполнить сканирование системы.
   

4. Дождитесь завершения сканирования HitmanPro.

   HitmanPro начнет сканирование вашего компьютера на наличие вредоносных программ. Этот процесс займет несколько минут.
   

5. Щелкните «Далее».

   Когда HitmanPro завершит сканирование, он отобразит список всех вредоносных программ, обнаруженных программой. Нажмите кнопку «Далее», чтобы удалить вредоносные программы.
   

6. Щелкните «Активировать бесплатную лицензию».

   Нажмите кнопку «Активировать бесплатную лицензию», чтобы начать бесплатную 30-дневную пробную версию и удалить все вредоносные файлы с вашего ПК.
   
   Когда процесс будет завершен, вы можете закрыть HitmanPro и продолжить выполнение остальных инструкций.

ШАГ 3. Восстановите файлы, зашифрованные программой-вымогателем Zorro, с помощью программного обеспечения для восстановления.

В некоторых случаях можно восстановить предыдущие версии зашифрованных файлов с помощью Aurora Restore или другого программного обеспечения для восстановления, которое использовалось для получения «теневых копий» файлов.

Вариант 1. Восстановите файлы, зашифрованные программой-вымогателем Zorro, с помощью ShadowExplorer.

Программа-вымогатель Zorro попытается удалить все теневые копии при первом запуске любого исполняемого файла на вашем компьютере после заражения. К счастью, заражение не всегда может удалить теневые копии, поэтому вам следует продолжить попытки восстановить файлы этим методом.

1. Вы можете скачать ShadowExplorer по ссылке ниже:
   ССЫЛКА ДЛЯ ЗАГРУЗКИ SHADOW EXPLORER (Эта ссылка откроет новую веб-страницу, с которой вы можете скачать «ShadowExplorer»)
2. После того, как вы загрузили и установили ShadowExplorer, вы можете следовать приведенному ниже видеоруководству о том, как восстановить файлы при использовании этой программы.

Вариант 2. Восстановите файлы, зашифрованные с помощью программы-вымогателя Zorro, с помощью программы для восстановления файлов.

Когда файлы зашифрованы, эта программа-вымогатель сначала делает их копию, шифрует копию, а затем удаляет оригинал. Благодаря этому вы можете использовать такие программы для восстановления файлов, как:

Recuva
Вы можете следовать приведенному ниже руководству о том, как использовать Recuva:

Мастер восстановления данных EaseUS Бесплатно

Р-Студия

Как предотвратить заражение вашего компьютера программой-вымогателем Zorro

Чтобы защитить свой компьютер от программ-вымогателей Zorro, на вашем компьютере всегда должен быть установлен антивирус и всегда должна быть резервная копия ваших личных документов. В качестве дополнительного метода защиты вы можете использовать программы HitmanPro.Alert, которые предотвратят запуск любых вредоносных программ для шифрования файлов.

Теперь ваш компьютер не должен быть заражен вирусом-вымогателем Zorro.

Запустите сканирование с помощью Emsisoft Emergency Kit