Cyber Security LAB

O processo de infecção de GX40 ransomware é semelhante à de qualquer outro vírus ransomware lá fora. O vírus pode, inicialmente, ser distribuído com a ajuda de mensagens de e-mail mensagens de spam com arquivos maliciosos e anexos incorporados dentro deles. Uma vez que esses anexos são incorporados, eles são acompanhados por uma enganosa mensagens de enganar o usuário para abri-los. Eles podem fingir ser:

• Uma fatura de uma compra, o usuário é enganado para ter feito.
• Um documento a partir de um banco, alegando que não há atividade suspeita.
• Falso PayPal, FedEx ou a outros documentos.

Uma vez que o arquivo malicioso no arquivo é aberto, a infecção é imediata e o vírus usa um carregador para soltá-lo da carga.

Outros métodos de infecção por GX40 ransomware é se o vírus aproveita falso instaladores, falso Windows atualizações e qualquer outro arquivo que pode parecer legítimo. Ele ainda pode ser encontrado em sites de torrent como um falso patch do jogo ou o jogo de crack que é normalmente utilizado para licenciar uma versões de programas ou jogos.

Uma vez que o carregador deste vírus já caiu é arquivos maliciosos no computador-vítima, elas são, provavelmente, localizado nas seguintes pastas:

Download ferramenta de remoçãoremover GX40

• %AppData%
• %LocalLow%
• %De Roaming%
• %%Local
• %Windows%

Dois dos maliciosos executáveis pertencentes a GX40 infecção ransomware são reconhecidos para ser a seguinte:

Depois de ser ativada, os arquivos maliciosos de vírus podem conter um código malicioso dentro de si o que pode modificar as cópias de sombra de volume do computador infectado, para que eles sejam eliminados, sem que o usuário perceba. Isso é possível, executando os seguintes comandos, principalmente o vssadmin linha:

→ chamada de processo de criar “cmd.exe /c
vssadmin.exe eliminar sombras /todos /quiet
bcdedit.exe /set {padrão} recoveryenabled não
bcdedit.exe /set {padrão} bootstatuspolicy ignoreallfailures

Além desta atividade, o GX40 ransomware infecção também pode interferir com o Windows o editor do registro do PC vítima, fazendo com que o executável mal-intencionado que criptografa arquivos são executados quando o Windows sistema de botas:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

O processo de encriptação de ficheiros por este vírus é feito com a assistência do algoritmo de encriptação Rijndael, também conhecido como AES. A cifra criptografa arquivos em blocos que são 129 bits de tamanho e a força de encriptação pode ser de 128, 192 ou 256 bits(o mais forte de criptografia). O algoritmo de criptografia é também usado pelo governo dos EUA e que gera uma chave simétrica após a encriptação de ficheiros. Esta chave é o mesmo para todos os arquivos bloqueados e podem ser enviadas para o ciber-criminosos servidores de comando e controle.

Entre os arquivos que o GX40 alvos de vírus para criptografia são os seguintes tipos de arquivos importantes:

Download ferramenta de remoçãoremover GX40

• Documentos do Microsoft Office.
• O OpenOffice arquivos.
• Os documentos PDF.
• Arquivos de texto.
• Arquivos de imagem.
• Arquivos de áudio.
• Vídeos.
• Ficheiros arquivados e diferentes tipos de arquivos.

Após o processo de encriptação estiver concluído, os arquivos tornam-se mais capaz de ser aberto e são acrescentados .arquivo criptografado extensão. Eles podem aparecer, como mostrado na imagem abaixo:

Após a criptografia, o vírus torna-se o usuário sabe de sua presença soltando uma tela de observação(ver imagens no início acima) pedir para pagar 80 dólares de resgate. Ele tem as seguintes mensagens dentro dela:

Main Screen: YOUR FILE HAS ENCRYPTED GX40 All of your important files has been encrypted by Ransomware OPEN NOTICE GX40 Ransomware Contact me to make payment and make sure to attach yor identifier GX40@YAHOO.COM IDENTIFIER: {unique A-Z 0-9 digits ‘COPY’ ‘RESTORE’ GX40-NOTICE: NOTICE by : GX40 All Your Personal Files Are Encrypted All your data (photos, documents, and other files) have been encrypted with a private and unique key generated fot this computer. It means that yout will not be able to access your files anymore until they’re decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment. The payment has to be done in Bitcoint to a unique address that we generated for you. Bitcoins are a virtual currency to make online payments. IF you don’t know to get Bitcoins, you can google “HOW TO BUY BITCINS” and follow the instructions. YOU ONLY HAVE 2 DAYS TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to $80. Also, if you dont pay in 7 days, your unique key wil be destroyed and you wont be able to recover your files anymore. To recover your files and unlock your computer, you mush send 0.07214 BTC or 80 USD, to the next Bitcoin address : 12EN79yZyZpEvfnQPHUqyhEtrWU4W3UrDn WARNING! DO NOT TRY GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS.

Guia de remoção manual GX40

Passo 1. Desinstalar GX40 e relacionados a programas

Windows XP

1. Abra o menu iniciar e clique em painel de controle
2. Escolha Adicionar ou remover programas
3. Selecione o aplicativo indesejado
4. Clique em remover

Windows 7 e Vista

1. Clique em Iniciar e selecione Painel de controle
2. Ir para desinstalar um programa
3. Botão direito do mouse sobre o software suspeito
4. Selecione desinstalar

Windows 8

1. Mover o cursor para o canto inferior esquerdo
2. Botão direito do mouse e abra o painel de controle
3. Selecione desinstalar um programa
4. Excluir aplicativos indesejados

Passo 2. Remover GX40 do seu navegador

Remover GX40 de Internet Explorer

1. Abra o IE e clique no ícone de engrenagem
   
2. Selecione Gerenciar Complementos
   
3. Remover extensões indesejadas
4. Alterar sua página inicial: ícone de engrenagem → opções da Internet (guia geral)
   
5. Redefinir o seu navegador: ícone de engrenagem → opções da Internet (guia Avançado)
6. Clique em redefinir, a caixa de seleção e clique em redefinir novamente
   

Apagar GX40 do Mozilla Firefox

1. Abrir o Mozilla e clicar no menu
   
2. Escolha Add-ons e ir para extensões
3. Selecione o complemento não desejado e clique em remover
   
4. Reiniciar Mozilla: Alt + H → informações de solução de problemas
   
5. Clique em Reset Firefox, confirmá-la e clique em concluir
   

Desinstalar GX40 de Google Chrome

1. Abra Google Chrome e clique no menu
   
2. Selecione as extensões de ferramentas →
3. Escolha o complemento e clique em ícone lixeira
   
4. Alterar o seu mecanismo de pesquisa: configurações de Menu →
5. Clique em gerenciar os motores de busca em busca
   
6. Exclua o provedor de pesquisa indesejáveis
   
7. Redefinir o seu navegador: configurações → Redefinir configurações do navegador
   
8. Clique em Redefinir para confirmar sua ação