Cyber Security LAB

O Falso Windows Updater ransomware infecção pode propagar-se através de diferentes técnicas. O vírus pode usar instaladores de terceiros através de páginas fraudulentas que exibir para o usuário uma mensagem que pede para atualizar o computador. Por isso, os usuários podem baixar o arquivo, chamado 1xxx106Updater1xxx.exe o que não é real Updater, mas, ao invés de um carregador ou gotas de arquivos maliciosos de vírus ransomware. Normalmente, tais distribuição sites estão por toda a web, mas eles podem ser exibidos como pop-ups em um computador, no caso de haver um anúncio-suportado aplicativo que é potencialmente indesejados, em outras palavras, adware ou um seqüestrador de navegador, app instalado.

A atividade do Falso Windows Updater vírus é composto de várias atividades diferentes, dos quais o primeiro é para soltar os arquivos maliciosos na máquina infectada. O principal ficheiros associados com Falsos Windows Updater ransomware são os seguintes:

Download ferramenta de remoçãoremover Updater

• WindowsUpdater.exe
• Translation-Report.docx.exe

Para soltar os arquivos, o vírus também pode estabelecer uma conexão com os seguintes hosts:

• hxxps://ganedata.co.uk/ransomware/ransomware.php
• hxxps://ganedata.co.uk/Transaction-Report.docx.exe

Depois de já estabelecer a ligação com os anfitriões, o vírus ransomware pode começar a eliminar as cópias de sombra de volume do computador infectado. Isso é possível no plano de fundo por introduzir os seguintes comandos através de um script:

→ chamada de processo de criar “cmd.exe /c
vssadmin.exe eliminar sombras /todos /quiet
bcdedit.exe /set {padrão} recoveryenabled não
bcdedit.exe /set {padrão} bootstatuspolicy ignoreallfailures

Além de adulteração com Windows cópias de sombra, o Falso Windows Updater ransomware também podem interferir fortemente com o Windows Editor de Registo, mais especificamente, o sub-chaves que modificar algumas definições, tais como a execução de arquivos na inicialização do sistema ou alterar o papel de parede:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Além disso, outra atividade pode ser para exibir um menu pop-up que É chamado de ARQUIVO de SEGURANÇA PROTEGIDA depois de criptografar os arquivos.

O processo de criptografia de arquivos codificados por Falsos Windows Updater Ransomware é realizada por meio de mais fortes AES (Advanced Encryption Algorithm) com 256 bits de força. A cifra é aplicada para os arquivos criptografados em blocos com uma chave gerada. Para o processo de criptografia do vírus, os seguintes tipos de arquivos são direcionados por ele:

→ .#vc, .$ac ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac .aaf, .ab4, .ac2, .acc, .accd, .ach .aci, .acm .acr .aep, .aepx, .aes .aet, .afm, .ai, ai .aif, .amj, .como, .as3, .asc, .asf, .asm, .asp, .asx, .ati .avi, .de volta, .bak, .bat .bay .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c .cal .gato, .cb .cd, .o cdf .cdr, .cdt .cdx .cf8, .cf9, .cfdi, .pcp .cgm, .cgn, .pc, .var, .cht .clas, .clk, .cmd .cmx, .cnt, .cntk, .coa, .cpp .cpt, .cpw, .cpx, .crt .cs .a csl, .rse .css .csv .cur, .ucs, .d07, .dac .dat, .db .dbf, .dch, .dcr, .ddd, .o dds .defx, .der, .des .dgc, .dif, .o dip .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .ponto .dotm, .dotx, .drw, .ds4, .dsb .dsf, .dtau, .dtd .dtl, .dwg .dxf .dxi, .ebc, .ebd, .ebq, .ec8, .o efs .efsl, .efx, .emd, .eml, .emp .ens, .ent, .epa, .a epb, .o eps .eqb, .ert, .esk, .ess, .vsf, .etq, .ets .exp .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb .jóia .gfi, .gif .gnc, .gpc, .gpg, .oge, .gto .gz, .h .h10, .h11, .h12 .hbk, .hif, .a uhe, .hsr, .html .hts, .hwp, .i2b, .iban, .o ibd, .ico .o idml, .o iff, .iif .img, .imp, .indb, .indd, .indl, .indt .ini .int .intu, .inv, .inxado, .ipe, .ipg, .fundo fiduciário .jar .java, .jng, .jp2, .jpeg .jpg, .js .jsd, .jsda, .jsp .kb7, .kd3, .kdc, key distribution center .chave .kmo, .kmy, .leigos .lay6, .lcd, .ldc, .ldf, .ldr, .vamos, .lgb, .lhr, .tampa .lin .lld, .lrm, .registo .lua, .lz, .m, .m10 .m11, .m12, .m14, .m15, .m16, .m3u .m3u8, .m4a .m4u, .m4v, .mac .max, .mbsb, .md .mda .mdb .mdf .mef, .mem .reuniu-se, .meta .mhtm, .mid .mkv, .ml2, .ml9, .mlb, .mlc .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4 .mn5, .mn6, .mn7, .mn8, .mn9, .mne .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, e .mpa .ema, .mpeg, .mpg .mql, .mrq, .ms11, .msg .mwi, .smm .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd .nef, .nl2, .nni, .npc .nv .nv2, .oab .obi, .odb, .odc, .odg, .odm .odp .ods .odt, .oet, .ofc, .ofx, .de idade, .omf, .o op .a orf, .ost, .otg, .otp .ots, .ott, .p08, .p12, .p7b, ..p7c, .paq, .o pas .pat, .pcd, .pcif, .pct .pcx .pd6, .pdb, .pdd .pdf, .pem .por, .pfb, .pfd, .pfx, .pg, .php, .pic, .o pl .plb, .pls .plt, .pma, .pmd, .png, .pns, .por, .pote .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt .pptx .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn .prpr, .ps .psd .a psp .pst .ptb, .ptdb, .ptk, .ptx, .pvc .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .software livre, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .pcl, .quo .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw .rb, .rcs .rda .rdy, .reb, .rec, .resx, .rif .rm, .rpf, .rsspptm, .rtf .rtp .rw2, .rwl, .rz, .s12, .s7z, .saf .saj, .dizer .sba .sbc .sbd, .sbf, .df, .sch .sct, .sdf, .sdy, .costura, .ses .conjunto .shw, .sic, .skg, .sldm, .sldx, .slk, .slp .sql .sqli, .sr2, .srf .ssg, .stc, .std, .ist .stm, .str, .stw, .svg, .swf .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar .fiscal, .tax0, .iva1, .tax2, .tb2, .tbk, .tbp, .tdr, .texto .tfx, .tga, .tgz, .tif .tiff .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .o txf, .txt .u08, .u10, .s11, .u12, .uop, .uot, .v30, .vb .vbpf, .vbs, .vcf, .vdf, .vdi .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1 .wk3 .wk4, .wks, .wma .wmf .wmv .wpd, .wpg, .o wps .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka

Download ferramenta de remoçãoremover Updater

Depois de encriptação de ficheiros são anexados a arquivos criptografados extensão e aparecem como a imagem abaixo mostra:

Este modo de encriptação é chamado ECB (Electronic Codebook) modo. Ele visa substituir blocos de dados dos arquivos legítimos com dados de codificação e uma única chave de descriptografia é gerada para cada computador infectado:

Fonte: Wikipédia

A chave pode então ser enviada para os cyber-criminosos e, em seguida, uma nota de resgate é interrompida para que a vítima se ciente de uma extorsão. A nota tem o seguinte conteúdo:

YOUR FILES HAS BEEN ENCRYPTED Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. Now you have the last chance to decrypt your files. 1. Buy Bitcoin (https://en.bitcoin.it/wiki/Buying_bitcoins) 2. Send amount of 0.02 BTC to address: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE 3. Transaction will take about 15-30 minutes to confirm. 4. When transaction is confirmed, send email to us at ransomwareinc@yopmail.com 5. Write subject of your mail with : ‘Restore my files ***’ 6. Write content of your mail with : ‘Bitcoin payment : (YOUR BITCOIN TRANSACTION ID) Computer Identifier : {UNIQUE ID} 7. We will contact you back with your private key.

Guia de remoção manual Updater

Passo 1. Desinstalar Updater e relacionados a programas

Windows XP

1. Abra o menu iniciar e clique em painel de controle
2. Escolha Adicionar ou remover programas
3. Selecione o aplicativo indesejado
4. Clique em remover

Windows 7 e Vista

1. Clique em Iniciar e selecione Painel de controle
2. Ir para desinstalar um programa
3. Botão direito do mouse sobre o software suspeito
4. Selecione desinstalar

Windows 8

1. Mover o cursor para o canto inferior esquerdo
2. Botão direito do mouse e abra o painel de controle
3. Selecione desinstalar um programa
4. Excluir aplicativos indesejados

Passo 2. Remover Updater do seu navegador

Remover Updater de Internet Explorer

1. Abra o IE e clique no ícone de engrenagem
   
2. Selecione Gerenciar Complementos
   
3. Remover extensões indesejadas
4. Alterar sua página inicial: ícone de engrenagem → opções da Internet (guia geral)
   
5. Redefinir o seu navegador: ícone de engrenagem → opções da Internet (guia Avançado)
6. Clique em redefinir, a caixa de seleção e clique em redefinir novamente
   

Apagar Updater do Mozilla Firefox

1. Abrir o Mozilla e clicar no menu
   
2. Escolha Add-ons e ir para extensões
3. Selecione o complemento não desejado e clique em remover
   
4. Reiniciar Mozilla: Alt + H → informações de solução de problemas
   
5. Clique em Reset Firefox, confirmá-la e clique em concluir
   

Desinstalar Updater de Google Chrome

1. Abra Google Chrome e clique no menu
   
2. Selecione as extensões de ferramentas →
3. Escolha o complemento e clique em ícone lixeira
   
4. Alterar o seu mecanismo de pesquisa: configurações de Menu →
5. Clique em gerenciar os motores de busca em busca
   
6. Exclua o provedor de pesquisa indesejáveis
   
7. Redefinir o seu navegador: configurações → Redefinir configurações do navegador
   
8. Clique em Redefinir para confirmar sua ação