Cyber Security LAB

Infekce soubor Aes-ni ransomware může být silně zatemnil JavaScript, který je škodlivý nebo kapátkem souboru. To může být také Trojské koně nebo jiné malware, jako botnet, který byl dříve napadených obětí PC.

Šíření infekce může být soubor prováděny prostřednictvím masivní spam e-mailových kampaní, které se zaměřují na pouze jednu věc – aby trik uživatele do kliknutí na škodlivý soubor nebo škodlivý web odkaz, který je vložen do těla e-mailu poslal. Jedním příkladem takové zprávy může být vidět níže:

Kromě e-mailu, kyber-zločinci, kteří jsou za Aes-ni infekce může povolit sami nahrát škodlivé soubory na soubor-sdílení webových stránek, jako torrent stránek například. Tyto soubory mohou být prezentovány uživateli jako generátory klíčů pro aktivaci licence pro daný program nebo crack nebo patch pro jiný software.

Jiné metody infekce mohou zahrnovat útoky prostřednictvím falešné aktualizace nebo v důsledku škodlivého přesměrování prohlížeče. Taková situace může nastat, pokud uživatel má ad-podporované potenciálně nežádoucí aplikace, také známý jako PUA.

Stáhnout nástroj pro odstraněníChcete-li odebrat Aes-ni

Jakmile infekce se stalo, tím, že žádný z těch scénářů, Aes-ni ransomware je škodlivý, soubory mohou být spadl do počítače. Patří mezi ně:

• !!! PŘEČTĚTE SI TOHLE – DŮLEŽITÉ !!!.txt
• .klíč.aes_ni soubory
• Exectuable soubory umístěny ve složce %Systém Drive%, %AppData% nebo %Windows% složky.

Kromě primární škodlivé soubory Aes-ni, virus může také vytvořit duplicitní soubory, nebo podpora modulů různých typů souborů (.dll, .tmp .vbs, .bat, .exe), které mohou být umístěny v následující Windows adresáře:

• %AppData%
• %Roaming%
• %Místní%
• %LocalLow%
• %SystemDrive%
• %Windows%
• %System32%

Činnost virus může rovněž zahrnovat změny Windows Registru sub-klíče tak, že škodlivý spustitelný soubor, který zašifruje soubory běží na spuštění systému. Klíče cílené pro to jsou následující:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

V těch klíče, Aes-ni virus může vytvářet vlastní hodnotu řetězce s cestou k systémové soubory, takže pokud jste odstranění virus ručně, budete moci otevřít klíčem a vidět, kde se nebezpečný soubor je umístěn.

Na Aes-ni virus také provádí kontrolu umístění vašeho počítače, a počítač je z jedné ze zemí bývalého Sovětského Svazu, Aes-ni ransomware self-odstraní a není šifrovat soubory.

Další aktivity Aes-ni ransomware infekce mohou zahrnovat úpravy v Okně Stínové kopie přes tyto správní Winodws Příkazového řádku příkazové řádky:

→ proces volání vytvořit „cmd.exe /c
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled ne
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Chcete-li soubory šifrovat, tento ransomware virus využívá tzv. ECB režim šifrování. Tento režim šifrování zahrnuje několik různých šifrovací sekvence. Režim je známý také jako Electronic Code Book mode. Tento režim se používá, když více než jeden blok dat se stejným klíčem jsou šifrována jednou. Šifrovací algoritmus pro ECB režim se nazývá Advanced Encryption Standard (AES) a je nejsilnější AES-256 bit. Pak , Aes-ni ransomware může kombinovat šifrování souborů s RSA algoritmus, který generuje jedinečný dešifrovací klíč pro každý soubor nebo sadu souborů. Dešifrovací klíče pak mohou být zaslány prostřednictvím šifrované spojení se servery, kyber-zločinci, kteří jsou za Aes-ni ransomware.

Stáhnout nástroj pro odstraněníChcete-li odebrat Aes-ni

Mezi soubory šifrované pomocí Aes-ni ransomware může být následující:

• Dokumenty.
• Hudba.
• Videím.
• Nahrávek.
• Obrázky.
• Soubory databáze.

Po šifrování, proces byl dokončen, Aes-ni ransomware nastaví vlastní soubor rozšíření šifrované soubory, a oni se objeví jako následující:

Poslední krok procesu šifrování je informovat oběti šifrované soubory. To se děje tím, že upustí výkupné viru, jménem !!! PŘEČTĚTE SI TOHLE – DŮLEŽITÉ !!!.txt. To má následující obsah:

==========================# aes-ni ransomware #========================== █████╗ ██████╗██████╗ ███╗ ██╗ ██╗ ██╔â•â–ˆâ–ˆâ•—██╔â•â•â•â•â–ˆâ–ˆâ•”â•â•â•â• ████╗ ██║ ██║ ██████║█████╗ ██████╗███╗██╔██╗██║ ██║ ██╔â•â–ˆâ–ˆâ•‘██╔â•â•â• â•šâ•â•â•â–ˆâ–ˆâ•‘â•šâ•â•â•â–ˆâ–ˆâ•‘╚████║ ██║ ██║ ██║██████╗██████║ ██║ ╚███║ ██║ â•šâ•â• â•šâ•â•â•šâ•â•â•â•â•â•â•šâ•â•â•â•â•â• â•šâ•â• â•šâ•â•â• â•šâ•â• SORRY! Your files are encrypted. File contents are encrypted with random key (AES-256 bit; ECB mode). Random key is encrypted with RSA public key (2048 bit). We STRONGLY RECOMMEND you NOT to use any “decryption tools”. These tools can damage your data, making recover IMPOSSIBLE. Also we recommend you not to contact data recovery companies. They will just contact us, buy the key and sell it to you at a higher price. If you want to decrypt your files, you have to get RSA private key. In order to get private key, write here: 0xc030@protonmail.ch Also there is one fast way to contact us. If you are familiar with Jabber, write us to JID: zooolo@darknet.nz (it is Jabber, not e-mail address!) You can get Jabber account for example at https://www.xmpp.jp/signup IMPORTANT: In some cases malware researchers can block our e-mails. If you did not receive any answer on e-mail in 48 hours, please do not panic and write to BitMsg (https://bitmsg.me) address: BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN or create topic on https://www.bleepingcomputer.com/ and we will find you there. Also it will be better if you download Tor browser here: https://www.torproject.org/download/download-easy.html.en Download, install and run it; then visit our site (from Tor browser): http://kzg2xa3nsydva3p2.onion/index.php Please do not visit this site from standard browser: it just will not open. You need Tor Browser to open .onion sites. There is a form, you can write us there if all e-mails are blocked and we will contact you very fastly. If someone else offers you files restoring, ask him for test decryption. Only we can successfully decrypt your files; knowing this can protect you from fraud. You will receive instructions of what to do next. You MUST refer this ID in your message: {Unique ID}Also you MUST send all “.key.aes_ni” files from C:ProgramData if there are any. ==========================# aes-ni ransomware #========================== Stáhnout nástroj pro odstraněníChcete-li odebrat Aes-ni

Zdroj: id-ransomware-blogspot.bg

Manuál Aes-ni odstranění průvodce

Krok 1. Odinstalovat Aes-ni a související programy

Systém Windows XP

1. Otevřete nabídku Start a na příkaz Ovládací panely
2. Zvolte možnost Přidat nebo odebrat programy
3. Vyberte aplikaci, nežádoucí
4. Klepněte na tlačítko Odebrat

Windows 7 a Vista

1. Klepněte na tlačítko Start a zvolte ovládací panely
2. Přejít na odinstalovat program
3. Klepněte pravým tlačítkem myši na podezřelém softwaru
4. Vyberte odinstalovat

Windows 8

1. Přesunout kurzor na levém dolním rohu
2. Klepněte pravým tlačítkem a otevřete ovládací Panel
3. Vyberte možnost odinstalovat program
4. Odstranit nechtěné aplikace

Krok 2. Odebrat Aes-ni z vašeho prohlížeče

Odebrat Aes-ni z Internet Explorer

1. Otevře IE a klikněte na ikonu ozubeného kola
   
2. Vyberte spravovat doplňky
   
3. Odebrání nechtěných rozšíření
4. Změna domovské stránky: ikonu ozubeného kola → Možnosti Internetu (karta Obecné)
   
5. Svůj prohlížeč nastavit: ikonu ozubeného kola → Možnosti Internetu (karta Upřesnit)
6. Klepněte na tlačítko Obnovit, zaškrtněte políčko a klepněte na tlačítko Obnovit
   

Z Mozilla Firefox odstranit Aes-ni

1. Otevřete Mozilla a klepněte na nabídku
   
2. Zvolte doplňky a přejít na rozšíření
3. Vyberte nežádoucí doplněk a klepněte na tlačítko Odebrat
   
4. Obnovit Mozilla: Alt + H → informace o řešení potíží
   
5. Klepněte na tlačítko Obnovit Firefox, potvrďte ji a klepněte na tlačítko Dokončit
   

Odinstalovat Aes-ni z Google Chrome

1. Otevřete Google Chrome a klepněte na nabídku
   
2. Vyberte rozšíření nástroje →
3. Vyberte doplněk a klepněte na ikonu popelnice
   
4. Změnit svůj vyhledávač: Menu → nastavení
5. Hledání na položku Spravovat vyhledávače
   
6. Odstranit nežádoucí vyhledávač
   
7. Svůj prohlížeč nastavit: nastavení → obnovit nastavení prohlížeče
   
8. Klepněte na tlačítko Obnovit k potvrzení akce