O Falso Windows Updater ransomware infecção pode propagar-se através de diferentes técnicas. O vírus pode usar instaladores de terceiros através de páginas fraudulentas que exibir para o usuário uma mensagem que pede para atualizar o computador. Por isso, os usuários podem baixar o arquivo, chamado 1xxx106Updater1xxx.exe o que não é real Updater, mas, ao invés de um carregador ou gotas de arquivos maliciosos de vírus ransomware. Normalmente, tais distribuição sites estão por toda a web, mas eles podem ser exibidos como pop-ups em um computador, no caso de haver um anúncio-suportado aplicativo que é potencialmente indesejados, em outras palavras, adware ou um seqüestrador de navegador, app instalado.
A atividade do Falso Windows Updater vírus é composto de várias atividades diferentes, dos quais o primeiro é para soltar os arquivos maliciosos na máquina infectada. O principal ficheiros associados com Falsos Windows Updater ransomware são os seguintes:
- WindowsUpdater.exe
- Translation-Report.docx.exe
Para soltar os arquivos, o vírus também pode estabelecer uma conexão com os seguintes hosts:
- hxxps://ganedata.co.uk/ransomware/ransomware.php
- hxxps://ganedata.co.uk/Transaction-Report.docx.exe
Depois de já estabelecer a ligação com os anfitriões, o vírus ransomware pode começar a eliminar as cópias de sombra de volume do computador infectado. Isso é possível no plano de fundo por introduzir os seguintes comandos através de um script:
→ chamada de processo de criar “cmd.exe /c
vssadmin.exe eliminar sombras /todos /quiet
bcdedit.exe /set {padrão} recoveryenabled não
bcdedit.exe /set {padrão} bootstatuspolicy ignoreallfailures
Além de adulteração com Windows cópias de sombra, o Falso Windows Updater ransomware também podem interferir fortemente com o Windows Editor de Registo, mais especificamente, o sub-chaves que modificar algumas definições, tais como a execução de arquivos na inicialização do sistema ou alterar o papel de parede:
→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
Além disso, outra atividade pode ser para exibir um menu pop-up que É chamado de ARQUIVO de SEGURANÇA PROTEGIDA depois de criptografar os arquivos.
O processo de criptografia de arquivos codificados por Falsos Windows Updater Ransomware é realizada por meio de mais fortes AES (Advanced Encryption Algorithm) com 256 bits de força. A cifra é aplicada para os arquivos criptografados em blocos com uma chave gerada. Para o processo de criptografia do vírus, os seguintes tipos de arquivos são direcionados por ele:
→ .#vc, .$ac ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac .aaf, .ab4, .ac2, .acc, .accd, .ach .aci, .acm .acr .aep, .aepx, .aes .aet, .afm, .ai, ai .aif, .amj, .como, .as3, .asc, .asf, .asm, .asp, .asx, .ati .avi, .de volta, .bak, .bat .bay .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c .cal .gato, .cb .cd, .o cdf .cdr, .cdt .cdx .cf8, .cf9, .cfdi, .pcp .cgm, .cgn, .pc, .var, .cht .clas, .clk, .cmd .cmx, .cnt, .cntk, .coa, .cpp .cpt, .cpw, .cpx, .crt .cs .a csl, .rse .css .csv .cur, .ucs, .d07, .dac .dat, .db .dbf, .dch, .dcr, .ddd, .o dds .defx, .der, .des .dgc, .dif, .o dip .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .ponto .dotm, .dotx, .drw, .ds4, .dsb .dsf, .dtau, .dtd .dtl, .dwg .dxf .dxi, .ebc, .ebd, .ebq, .ec8, .o efs .efsl, .efx, .emd, .eml, .emp .ens, .ent, .epa, .a epb, .o eps .eqb, .ert, .esk, .ess, .vsf, .etq, .ets .exp .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb .jóia .gfi, .gif .gnc, .gpc, .gpg, .oge, .gto .gz, .h .h10, .h11, .h12 .hbk, .hif, .a uhe, .hsr, .html .hts, .hwp, .i2b, .iban, .o ibd, .ico .o idml, .o iff, .iif .img, .imp, .indb, .indd, .indl, .indt .ini .int .intu, .inv, .inxado, .ipe, .ipg, .fundo fiduciário .jar .java, .jng, .jp2, .jpeg .jpg, .js .jsd, .jsda, .jsp .kb7, .kd3, .kdc, key distribution center .chave .kmo, .kmy, .leigos .lay6, .lcd, .ldc, .ldf, .ldr, .vamos, .lgb, .lhr, .tampa .lin .lld, .lrm, .registo .lua, .lz, .m, .m10 .m11, .m12, .m14, .m15, .m16, .m3u .m3u8, .m4a .m4u, .m4v, .mac .max, .mbsb, .md .mda .mdb .mdf .mef, .mem .reuniu-se, .meta .mhtm, .mid .mkv, .ml2, .ml9, .mlb, .mlc .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4 .mn5, .mn6, .mn7, .mn8, .mn9, .mne .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, e .mpa .ema, .mpeg, .mpg .mql, .mrq, .ms11, .msg .mwi, .smm .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd .nef, .nl2, .nni, .npc .nv .nv2, .oab .obi, .odb, .odc, .odg, .odm .odp .ods .odt, .oet, .ofc, .ofx, .de idade, .omf, .o op .a orf, .ost, .otg, .otp .ots, .ott, .p08, .p12, .p7b, ..p7c, .paq, .o pas .pat, .pcd, .pcif, .pct .pcx .pd6, .pdb, .pdd .pdf, .pem .por, .pfb, .pfd, .pfx, .pg, .php, .pic, .o pl .plb, .pls .plt, .pma, .pmd, .png, .pns, .por, .pote .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt .pptx .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn .prpr, .ps .psd .a psp .pst .ptb, .ptdb, .ptk, .ptx, .pvc .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .software livre, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .pcl, .quo .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw .rb, .rcs .rda .rdy, .reb, .rec, .resx, .rif .rm, .rpf, .rsspptm, .rtf .rtp .rw2, .rwl, .rz, .s12, .s7z, .saf .saj, .dizer .sba .sbc .sbd, .sbf, .df, .sch .sct, .sdf, .sdy, .costura, .ses .conjunto .shw, .sic, .skg, .sldm, .sldx, .slk, .slp .sql .sqli, .sr2, .srf .ssg, .stc, .std, .ist .stm, .str, .stw, .svg, .swf .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar .fiscal, .tax0, .iva1, .tax2, .tb2, .tbk, .tbp, .tdr, .texto .tfx, .tga, .tgz, .tif .tiff .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .o txf, .txt .u08, .u10, .s11, .u12, .uop, .uot, .v30, .vb .vbpf, .vbs, .vcf, .vdf, .vdi .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1 .wk3 .wk4, .wks, .wma .wmf .wmv .wpd, .wpg, .o wps .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka
Depois de encriptação de ficheiros são anexados a arquivos criptografados extensão e aparecem como a imagem abaixo mostra:
Este modo de encriptação é chamado ECB (Electronic Codebook) modo. Ele visa substituir blocos de dados dos arquivos legítimos com dados de codificação e uma única chave de descriptografia é gerada para cada computador infectado:
Fonte: Wikipédia
A chave pode então ser enviada para os cyber-criminosos e, em seguida, uma nota de resgate é interrompida para que a vítima se ciente de uma extorsão. A nota tem o seguinte conteúdo:
Guia de remoção manual Updater
Passo 1. Desinstalar Updater e relacionados a programas
Windows XP
- Abra o menu iniciar e clique em painel de controle
- Escolha Adicionar ou remover programas
- Selecione o aplicativo indesejado
- Clique em remover
Windows 7 e Vista
- Clique em Iniciar e selecione Painel de controle
- Ir para desinstalar um programa
- Botão direito do mouse sobre o software suspeito
- Selecione desinstalar
Windows 8
- Mover o cursor para o canto inferior esquerdo
- Botão direito do mouse e abra o painel de controle
- Selecione desinstalar um programa
- Excluir aplicativos indesejados
Passo 2. Remover Updater do seu navegador
Remover Updater de Internet Explorer
- Abra o IE e clique no ícone de engrenagem
- Selecione Gerenciar Complementos
- Remover extensões indesejadas
- Alterar sua página inicial: ícone de engrenagem → opções da Internet (guia geral)
- Redefinir o seu navegador: ícone de engrenagem → opções da Internet (guia Avançado)
- Clique em redefinir, a caixa de seleção e clique em redefinir novamente
Apagar Updater do Mozilla Firefox
- Abrir o Mozilla e clicar no menu
- Escolha Add-ons e ir para extensões
- Selecione o complemento não desejado e clique em remover
- Reiniciar Mozilla: Alt + H → informações de solução de problemas
- Clique em Reset Firefox, confirmá-la e clique em concluir
Desinstalar Updater de Google Chrome
- Abra Google Chrome e clique no menu
- Selecione as extensões de ferramentas →
- Escolha o complemento e clique em ícone lixeira
- Alterar o seu mecanismo de pesquisa: configurações de Menu →
- Clique em gerenciar os motores de busca em busca
- Exclua o provedor de pesquisa indesejáveis
- Redefinir o seu navegador: configurações → Redefinir configurações do navegador
- Clique em Redefinir para confirmar sua ação