Cyber Security LAB

Verbreiten online, der Hacker hinter dieser lockscreen Art des virus können die Vorteile mehrerer unterschiedlicher tools und kits. Die am häufigsten verwendeten sind:

• Exploit-kits.
• Datei Zugänge kombinieren, dass bösartiger code in legitime ausführbare Dateien.
• Spamming, bots oder Dienstleistungen.
• Eine vorab erstellte Liste der gefälschten e-mail-Adressen mit guter Qualität.
• Eine Liste mit e-mail-Adressen zu spam.
• Gehackte online-Konten.
• Schattigen domains und Server für command and control.

Die Verwendung dieser tools kann das Ergebnis in das Spammen von bösartigen Dateien sowie web-links enthalten, die Arestocrat Infektion. Diese können begleitet werden durch eine e-mail-Nachricht mit eine sehr überzeugende Aussage, deren einziges Ziel ist es, den Benutzer entweder klicken Sie auf die bösartige web-link oder den Anhang öffnen. Beispiel Bilder von solchen spam e-mails können unten gesehen werden:

Außerdem mit neuen Methoden zu infizieren Anwender, die cyber-kriminelle verwenden auch neue betrügerische tricks, wie den Namen des Benutzers, der die e-mail-Konto in der e-mail-text, für mehr Vertrauen und überzeugen.

Zusätzlich zu Spam-e-mails, die den oben genannten tools können auch verwendet werden, um die Ausbreitung der Arestocrat virus in mehrere andere Möglichkeiten, wie:

• Über gefälschte updates von Adobe oder Windows geschrieben am schattigen Standorten oder heruntergeladen werden über die unerwünschte software.
• Durch gefälschte Programm-Lizenzierung patches oder key-Generatoren hochgeladen von gehackten online-Konten auf torrent-websites.
• Über das game cracks, patches oder Selbstextrahierende Archive. (SFX)

Sobald der Benutzer öffnet die Infektion-Datei oder web-link, wird ein schädlicher code ausgeführt werden kann. Dieser code verbindet sich zu einer Verteilung der host-und der über ein ungesichertes web-port lädt die payload Arestocrat lockscreen. Nachdem die payload heruntergeladen wurde, auf dem infizierten computer, kann es sich auf die folgenden Standorte:

• %AppData%
• %Local%
• %LocalLow%
• %Roaming%

Sobald diese malware wurde aufgestellt, es kann beginnen sich zu stark ändern, die Windows Registrierungs-Editor. Die folgenden Windows Registry sub-keys werden für die gezielte Modifikation:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersLocal AppData
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersTemplates
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersAppData
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCache
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCookies
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersHistory
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersAppData
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCommonAppData
HKLMSystemCurrentcontrolSetHardware Profiles001SoftwareMicrostwindowsCurrentVersionInternet SettingsProxyEnable
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnectionsSavedLegacySettings
HKCUSoftwareMicrosoftWindowsRunqcgce2mrvjq91kk1e7pnbb19m52fx
HKCUSoftwareMicrosoftCommand ProcessorAutoRun
HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell
HKCRCLSID{random alpha-numerischen Schlüssel}InProcServer32ThreadingModel
HKCRCLSID{random alpha-numerischen Schlüssel}InProcServer32TheadingModel(Default)
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapUNCAsIntranet
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapAutoDetect

Nachdem diese änderung durchgeführt wurde der lockscreen-virus kann die Ursache eine Kraft-reset auf dem computer des Benutzers, nach der die Arestocrat Lockscreen erscheinen:

Von dort aus kann der Benutzer verlangt werden, um die Zahlung einer “Gebühr”, um den Zugang zurück zu seinem computer. Solche Art von police ransomware Viren sind nichts neues und zum Glück Sie nicht, Dateien zu verschlüsseln, das heißt, Sie können entfernt werden.

Handbuch Arestocrat Removal Guide

Schritt 1. Deinstallieren Arestocrat und ähnliche Programme

Windows XP

1. Öffnen Sie im Menü Start, und klicken Sie auf Systemsteuerung
2. Wählen Sie hinzufügen oder Entfernen von Programmen
3. Wählen Sie die unerwünschte Anwendung
4. Klicken Sie auf Entfernen

Windows 7 und Vista

1. Klicken Sie auf Start und wählen Sie Systemsteuerung
2. Gehen Sie zum Deinstallieren eines Programms
3. Mit der rechten Maustaste auf die verdächtige software
4. Klicken Sie auf Deinstallieren

Windows 8

1. Cursor an der unteren linken Ecke
2. Mit der rechten Maustaste und öffnen Sie Systemsteuerung
3. Klicken Sie auf Deinstallieren eines Programms
4. Löschen Sie unerwünschte Anwendung

Schritt 2. Aus Ihrem Browser entfernen Arestocrat

Arestocrat aus Internet Explorer entfernen

1. Öffnen Sie IE, und klicken Sie auf das Zahnradsymbol
   
2. Wählen Sie Add-ons verwalten
   
3. Entfernen Sie unerwünschte Erweiterungen
4. Ändern der Startseite: Zahnrad-Symbol → Internet-Optionen (Registerkarte “Allgemein”)
   
5. Ihren Browser: Zahnrad-Symbol → Internet-Optionen (Registerkarte Erweitert)
6. Klicken Sie auf Zurücksetzen, aktivieren Sie das Kontrollkästchen und klicken Sie auf Zurücksetzen wieder
   

Löschen Sie Arestocrat aus Mozilla Firefox

1. Öffnen Sie Mozilla, und klicken Sie auf das Menü
   
2. Wählen Sie Add-ons und gehen Sie zu Extensions
3. Wählen Sie unerwünschte Add-on, und klicken Sie auf Entfernen
   
4. Reset Mozilla: Alt + H → Informationen zur Fehlerbehebung
   
5. Klicken Sie auf Reset Firefox, bestätigen Sie es und klicken Sie auf Fertig stellen
   

Deinstallieren Sie Arestocrat von Google Chrome

1. Öffnen Sie Google Chrome und klicken Sie auf das Menü
   
2. Wählen Sie Extras → Erweiterungen
3. Wählen Sie das Add-on, und klicken Sie auf Papierkorbsymbol
   
4. Ändern Sie Ihre Suchmaschine: Menü → Einstellungen
5. Klicken Sie unter Suche auf Suchmaschinen verwalten
   
6. Löschen Sie unerwünschte Suchanbieter
   
7. Ihren Browser einstellen: Einstellungen → Reset Browsereinstellungen
   
8. Klicken Sie auf Zurücksetzen, um den Vorgang zu bestätigen