Ransomware Tox

Známý též jako: Tox virus
Rozšíení: Nízké
Stupe poškození: Závažné

Návod na odstranění Tox ransomwaru

Co je to Tox?

Tox je sada pro tvorbu ransomwaru, která umožňuje vytvoření funkční ransomwarové infekce prakticky komukoliv. Kybernetičtí zločinci, kteří tuto sadu vytvořili jí přitom dali k dispozici zdarma - výměnou za to, že jim připadne 30 % vymoženého výkupného (70 % bude náležet "úspěšnému" vyděrači). Stejně jako ostatní ransomware i Tox využívá pro vymožení výkupného v Bitcoinech anynomní sítě TOR, tak aby zůstala aktuální lokace nedohledatelná. Pro využití ransomwaru Tox stačí škůdcům fakticky jen zadat výši výkupného a "kauzu" - tj. zprávu, která bude obětem útoku zobrazena. Proces tvorby vlastního ransomwaru je přitom velmi jednoduchý - úspěšnou infiltraci a vymožení výkupného si totiž bere na starost samotná ransomwarová sada Tox.

Škůdci mohou předmětný malware šířit prostřednictvím nakažených emailových zpráv, balíčků, apod. Po úspěšném proniknutí do počítače ransomware Tox následně pomocí šifrování Advanced Encryption Standard (AES) zakóduje vybrané druhy souborů (.txt, .odt, .doc, .ppt, .jpg, .png, .bmp, a mnohé další) a následně otevře okno se zobrazení bitcoinové adresy, na kterou má být výkupné zasláno. Jakkoliv samotný malware obsahuje jisté chyby a je na první pohled nedokonalý, v současné době nejsou známy žádné nástroje, pomocí kterých by bylo možné Toxem zakódované soubory obnovit. Dobrou zprávou nicméně je, že Tox nemaže stínové kopie (shadow copy) napadených souborů - oběti se tak mohou pomocí nástrojů obnovy systému jako například shadow explorer dostat ke svým ztraceným datům zpravidla zpět.

tox ransomwarový virus

Ransomwarové infekce jako Tox (například cryptowall, cryptolocker nebo alphacrypt) představují pádný důvod pro pravidelné zálohování Vašich dat. Vezměte v tomto ohledu na vědomí, že zaplacení výkupného se fakticky rovná přímému zaslání peněz kybernetickým zločincům - tímto nejenže podpoříte jejich nezákonný model podnikání, ale nadto nemáte ani žádnou jistotu že Vaše data budou skutečně dekódována. Pro vyhnutí se takovýmto počítačovým infekcím jako je i tato proto vždy zachovávejte náležitou opatrnost zejména při otevírání emailových zpráv, stahování z P2P sítí apod. Rovněž vždy používejte důvěryhodné antivirové a antimalwarové programy.

Zpráva v Toxu požadující zaplacení výkupného:

Attention - The files in your PC are now encrypted. The only way to have them back, is to pay a file. How to pay - You have to pay the ransom in bitcoins to the address which has been reserved for you. Please not that the value of bitcoins is unstable and may change in the near future. The current amount of bitcoin to pay is 0.64 (75.00$). How to buy bitcoins - 1. register, 2. deposit funds with credit card of bank transfer, 3. withdraw 0.64 bitcoins to address, 4. wait the transaction to be completed (it usually takes less than two hours). 5. if your files are not decrypted automatically, please write to toxsupport(at)sigaint.com with the subject HELP, sending the bitcoin address you paid to. You can also spam this mailbox with useless stuff or wishing me death, so that mail sent from real people who actually need help won’t be read.

Webové stránky tvůrců Tox ransomwaru:

Webové stránky Tox ransomwaru

Text uvedený na internetových stránkách tvůrců ransomwaru Tox:

What is Tox? - We developed a virus which, once opened in a Windows OS, encrypts all the files. Once this process is completed, it displays a message asking to pay a ransom to a bitcoin address to unlock the files. How do I make money with Tox? - You can subscribe (no mail or other shit needed) and create your virus. You will have to decide the ransom to unlock the files. Once you have downloaded your virus, you have to infect people (yes, you can spam the same virus to more people). How? That's your part. The most common practice to spam it as a mail attachment. If you decide to follow this method be sure to zip the file to prevent antivirus and antispam detection. - The most important part: the bitcoin paid by the victim will be credited to your account. We will just keep a 30% fee of the income, so if you specify a 100$ ransom, you will get 70$ and we'll get 30$, isn't this fair?

 

F.A.Q. - Are you serious? - Yes, why not? This is the best way for us to infect a lot of people and make a lot of money. Am I safe? - Sure, as long as you use tor and don't use personally identifiable information: we don't need to know you, and you don't need to know us. The only thing we'll ask you is the bitcoin address to withdraw your part. Are you going to steal my profit? - Nope, why should we? The best way for us to make money is having you helping us. Also, you will be shown the btc address your victims have to pay to, so you'll be sure we're not hiding anything from you. Then why aren't you spreading the virus yourself? We are! But with you, we're going to have a bigger income. Why is the file a .scr? - Because in this way people will not suspect anything (who knows what is a .scr?). If you wish, you can change it to .exe it'll work the same. How does the virus look? - Sexy. The virus has a .src extension (same as .exe files) and it has the icon of a word document, so the victim wont be suspecting anything. Will you actually decrypt the files once the ransom is paid? - Yes, we will. We want people to trust us, so that more people will pay the ransom. How dow I withdraw the money? - In the virus section you can monitor the status of all your viruses. When you have bitcoins to withdraw, just enter your address and press the Withdraw button.

Účet Tox týmu na Twitteru používaný k marketingovým účelům:

účet toxu na twitteru

Odstranění ransomwaru Tox:

Rychlé menu:

Krok 1

Uživatelé Windows XP a Windows 7:Přepněte počítač do Nouzového režimu. V menu Start zadejte Vypnout, zvolte Restartovat a OK. Během zapínaní se počítače stiskněte opakovaně klávesu F8, dokud se nezobrazí menu Pokročilé Možnosti Windows, potom zvolte Nouzový režim s prací v síti ze seznamu a stiskněte ENTER. 

Nouzový režim s prací v síti

Video ukazující jak zapnout Windows 7 v "Nouzovém režimu se sítí":

Uživatelé Windows 8: Spuštění Windows 8 v Nouzovém režimu s prací v síti - Přejděte na úvodní obrazovku Windows 8, napište Pokročilé, ve výsledcích vyhledávání zvolte Nastavení. Klikněte na pokročilé možnosti spuštění a otevřeném okně "Obecná nastavení počítače" zvolte možnost Pokročilé spuštění. Váš počítač se následně restartuje s menu pokročilými možnostmi spuštění - v těchto klikněte na tlačítko "Poradce při potížích" a následně vyberte "Pokročilé možnosti. Zvolte možnost "Nastavení spuštění". Klikněte na tlačítko "Restartovat". Počítač se následně restartuje, pro spuštění Nouzového režimu s prací v síti následně stiskněte klávesu F5.

Windows 8 Nouzový režim s prací v síti

Video zobrazující spuštění Windows 8 v "Nouzovém režimu s prací v síti":

Krok 2

Přihlaste se na účet, který byl Toxem napaden. Zapněte internetový prohlížeč a stáhněte věrohodný anti-spyware program. Aktualizujte ho a spusťte úplnou kontrolu systému. Odstraňte všechny položky, které objeví.

▼ Stáhnout odstraňovač Tox virus

Stažením kteréhokoliv softwaru ze seznamu na našich internetových stránkách souhlasíte s našimi zásadami ochrany osobních údajů a smluvními podmínkami. Veškeré námi doporučované produkty byly podrobně testovány a schváleny našimi specialisty, jakožto jedny z nejlepších řešení pro odstraňování internetových hrozeb.

Pokud nemůžete Nouzový režim s prací v síti spustit, zkuste funkci Obnovy systému.

Video zobrazující postup pro odstranění ransomwarového viru prostřednictvím "Nouzového režimu s příkazovým řádkem" a "Obnovy systému":

1. Při spouštění počítače stiskněte několikrát klávesu F8, dokud se nezobrazí menu Windows pokročilého nastavení, následně vyberte Nouzový režim s příkazovým řádkem a stiskněte klávesu ENTER.

Spuštění počítače v Nouzovém režimu s příkazovým řádkem

2. Při spuštění Nouzového režimu s příkazovým řádkem, zadejte: cd restore a stiskněte ENTER.

Obnova systému prostřednictvím příkazu cd restore

3. Následně zadejte: rstrui.exe a stiskněte ENTER.

Obnova systému prostřednictvím příkazu rstrui.exe

4. V otevřeném okně klikněte na "Další".

Obnovení systému - nastavení

5. Zvolte některý z dostupných bodů obnovy a klikněte na "Další" (tímto bude Váš systém obnoven k dřívějšímu datu, kdy ještě nebyl Toxem zasažen).

Zvolte bod obnovy

6. V otevřem okně zvolte "Ano".

Spusťte Obnovu systému

Pokud nemůžete systém v Nouzovém režimu s prací v síti spustit (nebo s příkazovým řádkem), spusťte svůj počítač pomocí záchranného disku. Některé varianty ransomwaru totiž blokují též nouzový režim, v důsledku čehož je jeho odstranění ještě o něco obtížnější. K tomuto postupu budete potřebovat v prvé řadě přístup k jinému počítači.

Pro znovuzískání kontroly nad soubory zašifrovanými virem Tox můžete zkusit program zvaný Shadow Explorer. Pro více informací o předmětném programu klikněte zde.

snímek programu shadow explorer

Pro ochranu Vašeho počítače před šifrovacími viry využívejte důvěryhodné antivirové a anti-spywarové programy. Jako další způsob ochrany můžete využít též programy s názvem HitmanPro.Alert a EasySync CryptoMonitor, které uměle zavádí zásady ochrany určitým druhům souborů v registrech a brání tak jejich infekci viry jako například Tox.)

HitmanPro.Alert CryptoGuard - blokuje veškeré pokusy o šifrování souborů a blokuje tyto bez nutného zásahu uživatele:

aplikace hitmanproalert pro ochranu před ransomwarem

EasySync CryptoMonitor - ukončuje šifrovací procesy a zabraňuje jejich opětovnému spuštění:

aplikace cryptomonitor pro ochranu před ransomwarem

Další dostupné nástroje pro odstranění ransomwaru Tox:

Zdroj: https://www.pcrisk.com/removal-guides/9052-tox-ransomware