Cyber Security LAB

Falešný Windows Updater ransomware infekce může být přenášen prostřednictvím různých technik. Virus mohou využívat třetí strany instalatérů pomocí podvodné webové stránky, které zobrazí uživateli zprávu, která vyzve k aktualizaci počítače. Proto, uživatelé mohou stáhnout soubor, pojmenovaný 1xxx106Updater1xxx.exe která není skutečným Updater, ale spíše loader nebo kapátkem škodlivé soubory tohoto viru ransomware. Obvykle takové rozložení webové stránky jsou po celém webu, ale mohou být zobrazeny jako pop-up okna na počítači, v případě, že je ad-podporované aplikace, která je potenciálně nežádoucí, jinými slovy, adware nebo prohlížeč únosce aplikace nainstalována.

Činnost Falešný Windows Updater virus se skládá z několika různých aktivit, z nichž první je pokles škodlivých souborů na infikovaný počítač. Primární soubory spojené s Fake Windows Updater ransomware jsou následující:

Stáhnout nástroj pro odstraněníChcete-li odebrat Updater

• WindowsUpdater.exe
• Translation-Report.docx.exe

Drop soubory, virus může také navázat spojení s následující hostí:

• hxxps://ganedata.co.uk/ransomware/ransomware.php
• hxxps://ganedata.co.uk/Transaction-Report.docx.exe

Po již navazování připojení k hostiteli, virus ransomware může začít odstranit objemu stínové kopie napadeného počítače. To je dosažitelné v pozadí zadáním následujících příkazů pomocí skriptu:

→ proces volání vytvořit „cmd.exe /c
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled ne
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Kromě manipulace s Windows stínové kopie, Fake Windows Updater ransomware může také silně v rozporu s Windows Editor Registru, konkrétně s sub-klíče, které změnit některé nastavení, jako je například spouštět soubory na startu systému nebo změnit tapetu:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Kromě toho, ostatní činnosti, může být zobrazení pop-up, který Je pojmenovaný SOUBOR ZABEZPEČENÍ CHRÁNĚNÉ po šifrování souborů.

Proces šifrování souborů kódovaných pomocí Falešné Windows Updater Ransomware je proveden pomocí nejsilnější šifrování AES (Advanced Encryption Algorithm) s 256-bit sílu. Šifra je použita na šifrované soubory v blocích s vygenerovaným klíčem. Pro proces šifrování tohoto viru, následující typy souborů jsou zaměřena na:

→ .#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .alternativního investičního fondu .amj, .jako, .as3, .asc, .asf, .asm, .asp .asx, .ati .avi, .zpět .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp, .kbp .bpw, .brd, .brw, .btif, .bz2, .c .cal, .kočka, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .srp .cgm, .cgn, .ch .chg, .cht, .clas, .clk, .příkaz cmd .cmx, .cnt, .cntk, .coa .cpp, .cpt .cpw, .cpx, .crt, .cs, .čsl .csr, .css, .csv, .cur, .cus, .d07, .dac, .dat, .db .dbf, .dch .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif .dip .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4 .dsb .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .es8, .efs .efsl, .efx, .elektrolytického oxidu manganičitého .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess .esv, .etq, .ets .exp .fa1, .fa2, .fca .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg .gsb, .gto .gz, .h .h10, .h11, .h12 .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .tlačítko, .kmo, .kmy, .ležel, .lay6, .lcd, .ldc, .ldf .ldr, .nechť, .lgb, .lhr, .víko, .lin, .lld, .lmr, .log .lua, .lz, .m, .m10, .m11 .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac .max .mbsb, .md, .mda .mdb .mdf, .mef, .mem, .potkali, .meta, .mhtm, .mid, .mkv, .ml2 .ml9, .mlb, .mlc, .mmb, .mml, .mmw .mn1, .mn2, .příponou mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .nadnárodní společnost, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws .mx0, .myd, .mye, .myi, .myox, .n43, .nap .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab .obi, .odb, .odc, .odg, .odm, .odp .ods, .odt, .oet, .ofc, .ofx, .starý, .omf, .op .orf, .ost .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .za, .pfb, .pfd .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps .ppsm, .ppsx, .ppt, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .možnosti rekreace, .resx, .rif, .rm, .rpf, .rsspptm, .rtf, .rtp .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .říkají, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .šev, .ses, .set, .shw, .sic .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg .statistiku .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99 .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .daňové, .tax0, .tax1, .tax2, .tb2 .tbk, .tbp, .tdr .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tome, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f .dělat, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw .xml, .xpm, .xqx, .yuv, .ždb, a .ziparc, .zipx, .zix, .otázka

Stáhnout nástroj pro odstraněníChcete-li odebrat Updater

Po šifrování, soubory jsou připojeny šifrovaného souboru a zobrazí jako na obrázku níže zobrazuje:

Tento způsob šifrování se jménem ECB (Elektronický Klíč) režim. To má nahradit bloky dat z legitimních souborů s daty z šifry a jedinečný dešifrovací klíč je generován pro každý infikovaný počítač:

Zdroj: Wikipedia

Klíč pak mohou být zaslány cyber-zločinci a pak výkupné je zrušen, aby se oběť vědoma, vydírání probíhá. Poznámka má následující obsah:

YOUR FILES HAS BEEN ENCRYPTED Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. Now you have the last chance to decrypt your files. 1. Buy Bitcoin (https://en.bitcoin.it/wiki/Buying_bitcoins) 2. Send amount of 0.02 BTC to address: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE 3. Transaction will take about 15-30 minutes to confirm. 4. When transaction is confirmed, send email to us at ransomwareinc@yopmail.com 5. Write subject of your mail with : ‘Restore my files ***’ 6. Write content of your mail with : ‘Bitcoin payment : (YOUR BITCOIN TRANSACTION ID) Computer Identifier : {UNIQUE ID} 7. We will contact you back with your private key.

Manuál Updater odstranění průvodce

Krok 1. Odinstalovat Updater a související programy

Systém Windows XP

1. Otevřete nabídku Start a na příkaz Ovládací panely
2. Zvolte možnost Přidat nebo odebrat programy
3. Vyberte aplikaci, nežádoucí
4. Klepněte na tlačítko Odebrat

Windows 7 a Vista

1. Klepněte na tlačítko Start a zvolte ovládací panely
2. Přejít na odinstalovat program
3. Klepněte pravým tlačítkem myši na podezřelém softwaru
4. Vyberte odinstalovat

Windows 8

1. Přesunout kurzor na levém dolním rohu
2. Klepněte pravým tlačítkem a otevřete ovládací Panel
3. Vyberte možnost odinstalovat program
4. Odstranit nechtěné aplikace

Krok 2. Odebrat Updater z vašeho prohlížeče

Odebrat Updater z Internet Explorer

1. Otevře IE a klikněte na ikonu ozubeného kola
   
2. Vyberte spravovat doplňky
   
3. Odebrání nechtěných rozšíření
4. Změna domovské stránky: ikonu ozubeného kola → Možnosti Internetu (karta Obecné)
   
5. Svůj prohlížeč nastavit: ikonu ozubeného kola → Možnosti Internetu (karta Upřesnit)
6. Klepněte na tlačítko Obnovit, zaškrtněte políčko a klepněte na tlačítko Obnovit
   

Z Mozilla Firefox odstranit Updater

1. Otevřete Mozilla a klepněte na nabídku
   
2. Zvolte doplňky a přejít na rozšíření
3. Vyberte nežádoucí doplněk a klepněte na tlačítko Odebrat
   
4. Obnovit Mozilla: Alt + H → informace o řešení potíží
   
5. Klepněte na tlačítko Obnovit Firefox, potvrďte ji a klepněte na tlačítko Dokončit
   

Odinstalovat Updater z Google Chrome

1. Otevřete Google Chrome a klepněte na nabídku
   
2. Vyberte rozšíření nástroje →
3. Vyberte doplněk a klepněte na ikonu popelnice
   
4. Změnit svůj vyhledávač: Menu → nastavení
5. Hledání na položku Spravovat vyhledávače
   
6. Odstranit nežádoucí vyhledávač
   
7. Svůj prohlížeč nastavit: nastavení → obnovit nastavení prohlížeče
   
8. Klepněte na tlačítko Obnovit k potvrzení akce