كيفية إزالة LLTP

0

الإنترنت الشكاوى من ضحايا رانسومواري LLTP (المعروف أيضا بفيروس LLTP) قد أجبرت الباحثين إلى حفر هذا التهديد الجديد المحتمل، ويبدو أن التهديد قد لا تكون العلامة التجارية الجديدة نظراً لأنه يبدو أن مشاركة الكثير من أوجه التشابه مع VenusLocker Ransomware عدة. ومع ذلك، توجد بعض الاختلافات الملحوظة، لكن أسلوب الهجوم أن يستخدم رانسومواري LLTP (المعروف أيضا بفيروس LLTP) مطابق تقريبا لتلك التي فينوسلوكير، ومن المرجح أن هذا الأخير كان وتستخدم كالأساس للتنمية في رانسومواري LLTP.

شيء غريب عن LLTP رانسومواري هو أنها قادرة على القيام بشيء لا تستطيع العديد من الأسر الأخرى في التهديد بتشفير – أنه يقوم بتشفير الملفات في الوضع دون اتصال والإنترنت على حد سواء. إذا كان الضحية لديه اتصال بإنترنت، رانسومواري يربط إلى ملقم بعيد بالقيادة والتحكم وينقل بعض من الضحية معلومات شخصية مثل اسم الكمبيوتر واسم المستخدم، وسلسلة معرف يسمى ‘LLTP2.4.0’، مما قد يعني أن هذا يعني أن يكون الإصدار 2.4.0 للتهديد. إذا كان الاتصال ناجحاً، ثم رانسومواري LLTP سوف تتلقى ردا يحتوي على كلمة المرور التي سيتم استخدامها لتشفير الملفات للضحية الخدمات المعمارية والهندسية. ومع ذلك، إذا لم يتحقق هذا الشرط، ثم LLTP رانسومواري تشرع بالعمل في وضع دون اتصال وإنشاء مفتاح AES، التي سوف تكون مشفرة مع المهاجم تضمين مفتاح RSA العامة، والمخزنة في الملف ‘tLLTPl.tLLTPl’.

رانسومواري LLTP يستخدم ملحقات اثنين لفصل الملفات فإنه يقوم بتشفير

هذا حيث يأتي ميزة مثيرة للاهتمام الثاني رانسومواري LLTP للعب â €”رانسومواري لا يستخدم نفس ملحق لكافة الملفات. بدلاً من ذلك، فإنه سيتم إلحاق ‘. ENCRYPTED_BY_LLTP ‘ شائعة التمديد لبعض من الأكثر الملفات مثل:

.txt،.ini،.php،.html،.css،.py،.c،.cxx،.aspx،.cpp،.cc،.h،.cs،.sln،.log، رر،.java،.doc،.dot،.docx،.docm،.dotx،.dotm،.rtf،.wpd،.docb،.wps،.msg،.xls، xlt.،.xlm،.xlsx،.xlsm،.xltx،.xltm، إكسلسب،.xla،.xlam،.xll،.xlw،.ppt،.pot،.pps،.pptx، pptm.،.potx،.potm،.ppam،.ppsx،.ppsm،.sldx،.sldm،. class، جرة،.csv،.xml،.dwg،.dxf،.asp.

سيكون لكافة الملفات الأخرى التي تقوم بتشفير رانسومواري LLTP ‘. ENCRYPTED_BY_LLTPp ‘ ملحق أرفق بأسمائهم. خلافا للعديد من أنواع أخرى من التشفير-التهديدات، رانسومواري LLTP لا يحافظ على اسم الملف الأصلي، وأنها سوف ترميز فإنه باستخدام base64، مما يجعل كافة أسماء الملفات التي تبدو وكأنها أحرف مشوشة. على سبيل المثال، سيتم إعادة تسمية ‘spreadsheet.xlsx’ إلى ‘ c3ByZWFkc2hlZXQueGxzeA = =. ENCRYPTED_BY_LLTP. ‘ كما جعلت أصحاب رانسومواري LLTP متأكد من أن تهديد هذه لن يضر بأي من ملفات النظام التي قد تمنع المستخدمين من استخدام أجهزة الكمبيوتر الخاصة بهم. وهذا هو السبب LLTP رانسومواري لن يبحث عن الملفات تشفير في الأماكن التالية:

برنامج الملفات، ملفات البرنامج (x86)، Windows، Python27، Python34، اليوانجوانج، افيرا، وامب، افيرا، 360، أية تي أي، جوجل، إنتل، Internet Explorer، كاسبرسكي لأب، مايكروسوفت بنج بينيين، عناصر مخطط Microsoft، ألعاب Microsoft، Microsoft Office، Microsoft.NET، ميكروسوفتباف، MSBuild، ققميلبلوجين، Realtek، Skype، تجميعات مرجع، تينسنت، USB Camera2، WinRAR، الشريط الجانبي Windows، Windows من الأجهزة المحمولة، عارض الصور Windows، Windows NT، Windows ميديا بلاير، البريد Windows، شركة نفيديا، Adobe، IObit، برنامج افاست ، سي كلينر، متوسط، موزيلا Firefox، VirtualDJ، تمفيور، أي سي كيو، جافا، ياهو!

وشملت أصحاب رانسومواري LLTP أيضا ميزة غريبة بل الثالثة هدفها بعد المجهول. عند الانتهاء من الهجوم، سيقوم بالتهديد بإنشاء مجلد يسمى ‘LLTPrwx86′ في الدليل % TEMP %. ثم، فإنه سيتم استخراج نسخة أعيدت تسميته من ‘Rar.exe’، الذي يذهب باسم ‘encp.exe’. هذا الملف سيتم جمع جميع الملفات مع ‘. ENCRYPTED_BY_LLTPp ‘التمديد وحفظها في مجلد فرعي مسمى’ قبو ‘. ثم، الملف ‘encp.exe’ سيتم إنشاء أرشيف محمية بكلمة مرور للمجلد ‘المدفن’ الذي يستخدم 32 حرف كلمة المرور المستخدمة لتشفير الملفات. وأخيراً، يكمل رانسومواري LLTP الهجوم باستخدام أمر سطر واحد لمحو جميع “الظل وحدة التخزين”، مما يجعل ملف الاسترداد عملية مستحيلة تقريبا.

عندما تم إكمال كافة الخطوات المذكورة أعلاه، سوف تشرع رانسومواري LLTP لإسقاط ثلاث رسائل منفصلة الفدية التي يمكن للمستخدمين قراءة للحصول على المعلومات:

  • رانسومواري LLTP باستخراج ملف يسمى ‘RansomNote.exe’ وتطلق عليه لعرض برنامج الذي يبدو وكأنه نسخة من الرسالة فدية. هذا الإصدار هو مكتوب تماما باللغة الإسبانية.
  • رانسومواري LLTP استخراج ملف يسمى ‘LEAME.txt’ من سطح المكتب- تتضمن هذه المذكرة نسخة إنجليزية من الرسالة الحصول على فدية، ويذكر أنه مبلغ فدية من 0.2 BTC (حوالي 200 دولار).
  • رانسومواري LLTP يصل إلى خدمة استضافة صورة شعبية وتحميل صورة التي سيتم ثم تعيين كخلفية لسطح المكتب- ويطلب من المستخدمين لدفع 200 دولار إلى عنوان بيتكوين، وإرسال معرف شخصي بهم إلى LLTP@mail2tor.com.

‘ قمت اختراق

يتم تشفير الملفات الشخصية الخاصة بك

لفك تشفير واستعادة كافة الملفات الخاصة بك، تحتاج إلى دفع 200 دولار أمريكي لخدمة فك التشفير.
1-200 تبادل الدولار (أو ما يعادلها من العملات المحلية) إلى بيتكوينس، ومن ثم إرسال هذه بيتكوينس إلى بيتكوين لدينا تلقي عنوان: [المحفظة عنوان المهاجم]
2-إرسال “المعرف الشخصي” الخاص بك إلى البريد الإلكتروني الرسمي: LLTP@mail2tor.com
3-سوف تتلقى المفتاح الخاص لاسترداد الملفات الخاصة بك خلال يوم عمل واحد.

للحصول على معلومات تفصيلية، يرجى الرجوع إلى مربع الحوار أو “ReadMe.txt” على سطح المكتب الخاص بك.

ولسوء الحظ، رانسومواري LLTP يستخدم روتين تشفير مضمونة، وأنه من غير المرجح أن أداة فك تشفير حرة سوف تتاح إلا الكتاب قررت الإفراج عن جميع مفاتيح فك التشفير. وهذا يعني أن ضحايا رانسومواري LLTP فرصة لاستعادة الملفات الخاصة بهم إلا إذا كانوا يدفعون مبلغ الفدية، ولكن المستخدمين الذين يفكرون في هذا وينبغي أن نضع في اعتبارنا أن أنها ستقوم بإرسال أموالهم إلى المحتالين عبر الإنترنت المجهولين الذين لا يتم ضمان الوفاء بها نهاية الصفقة. بغض النظر عن الطريق التي تختارها، يجب أن تبدأ عملية الشفاء بحفظ الملف ‘tLLTPl.tLLTPl’ (نظراً لأنه مطلوب من قبل المهاجمين إذا تم تشفير الملفات الخاصة بك في وضع دون اتصال)، ثم قم بتشغيل ماسح ضوئي مكافحة البرامج ضارة للقضاء على الملفات في رانسومواري LLTP.


تعليمات إزالة دليل LLTP.

حذف LLTP التطبيقات ذات الصلة

إلغاء تثبيت من Windows 7 و Windows Vista

  1. انقر فوق ابدأ، ثم انتقل إلى “لوحة التحكم”.
  2. اختيار برنامج إلغاء التثبيت، وإلغاء LLTP.

إلغاء تثبيت من إكس بي Windows

  1. فتح قائمة ابدأ والوصول إلى “لوحة التحكم”.
  2. حدد إضافة أو إزالة البرامج وإزالة LLTP.

إلغاء تثبيت من Windows 8

  1. انقر فوق مفتاح Windows + R في نفس الوقت واكتب في “لوحة التحكم”.
  2. اضغط على Enter وانتقل إلى إلغاء تثبيت برنامج.
  3. العثور على التطبيق غير مرغوب فيها وإلغاء LLTP.

control-panel-uninstall كيفية إزالة LLTP

حذف LLTP من المستعرضات الخاصة بك

إزالة LLTP من Internet Explorer

  1. شن Internet Explorer واختر أيقونة العتاد.
    ie-settings كيفية إزالة LLTP
  2. فتح إدارة الوظائف الإضافية وحذف extensons غير مرغوب فيها.
    ie-manage-addons كيفية إزالة LLTP
  3. انقر فوق رمز الترس مرة أخرى واذهب إلى “خيارات إنترنت”.
  4. في علامة التبويب عام، استبدال الصفحة الرئيسية الحالية بواحد كنت تفضل ذلك.
    ie-internet-options كيفية إزالة LLTP
  5. انقر فوق “موافق”.
  6. انقر فوق أيقونة ترس واحد مزيد من الوقت والوصول إلى “خيارات إنترنت”.
  7. الانتقال إلى علامة التبويب خيارات متقدمة، وحدد Reset.ie-reset كيفية إزالة LLTP
  8. وضع علامة في المربع، وانقر فوق إعادة تعيين مرة أخرى.

إزالة LLTP من موزيلا Firefox

  1. بدء تشغيل المستعرض الخاص بك، وفتح من القائمة.
  2. إضافات سيليتك وانتقل إلى Extensions.ff-settings-menu كيفية إزالة LLTP
  3. إزالة الملحقات غير المرغوب فيه من القائمة.
    ff-extensions كيفية إزالة LLTP
  4. وفي الوقت نفسه انقر فوق Alt + H.
    ff-troubleshooting كيفية إزالة LLTP
  5. اختر معلومات استكشاف الأخطاء وإصلاحها ثم انقر فوق إعادة تعيين.
    ff-troubleshooting كيفية إزالة LLTP
  6. عندما يظهر مربع الحوار جديد، انقر فوق إعادة تعيين مرة أخرى.

إزالة LLTP من Google Chrome

  1. بدء تشغيل المستعرض الخاص بك، وفتح من القائمة.
    chrome-menu-tools كيفية إزالة LLTP
  2. اختر أدوات والذهاب إلى ملحقات.
  3. حدد الوظيفة الإضافية غير مرغوب فيه واضغط على أيقونة سلة المهملات بجواره.
    chrome-extensions كيفية إزالة LLTP
  4. الوصول إلى القائمة مرة أخرى والانتقال إلى إعدادات.
  5. انقر فوق محركات “البحث إدارة” تحت البحث وحذف محرك البحث الحالي.
    chrome-manage-search كيفية إزالة LLTP
  6. اختر أداة بحث جديدة.
    chrome-search-engines كيفية إزالة LLTP
  7. فتح إعدادات، وانقر فوق إظهار متقدمة إعدادات.
    chrome-reset كيفية إزالة LLTP
  8. انقر فوق إعادة تعيين إعدادات المستعرض ومن ثم انقر فوق إعادة تعيين مرة أخرى لتأكيد الإجراء الخاص بك.

* SpyHunter scanner, published on this site, is intended to be used only as a detection tool. More info on SpyHunter. To use the removal functionality, you will need to purchase the full version of SpyHunter. If you wish to uninstall SpyHunter, click here.