Die Gefälschte Windows Updater ransomware-Infektion verbreitet werden kann über verschiedene Techniken. Das virus kann Drittanbieter-Installationsprogramme, die über betrügerische web-Seiten, die Anzeige an die Benutzer eine Nachricht, die fragt, um den computer zu aktualisieren. Daher kann der Benutzer den download der Datei mit dem Namen 1xxx106Updater1xxx.exe das ist nicht eine tatsächliche Updater, sondern ein loader oder Pipette die schädliche Dateien von diesem ransomware-virus. In der Regel solche Verteilung-websites sind alle über das web, aber Sie können angezeigt werden, als pop-ups auf einem computer, für den Fall, es ist eine ad-unterstützten Anwendung, die potenziell unerwünschte, in anderen Worten, adware oder ein browser-hijacker-app installiert.
Die Aktivität der Fake Windows Updater virus besteht aus mehreren verschiedenen Aktivitäten, von denen das erste ist, fallen bösartige Dateien auf dem infizierten Rechner. Die primären Dateien im Zusammenhang mit Fake Windows Updater ransomware, sind die folgenden:
- WindowsUpdater.exe
- Translation-Report.docx.exe
Zu drop die Dateien, die virus kann auch eine Verbindung mit der folgenden hosts:
- hxxps://ganedata.co.uk/ransomware/ransomware.php
- hxxps://ganedata.co.uk/Transaction-Report.docx.exe
Nachdem bereits Verbindungsaufbau zu den hosts, die ransomware virus kann beginnen, löschen Sie den Schatten Volumen Kopien des infizierten computer. Dies ist erreichbar, in den hintergrund durch Eingabe der folgenden Befehle über ein Skript:
→ process call-erstellen “cmd.exe /c
vssadmin.exe-delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Neben Manipulationen mit Windows Schattenkopien, die Gefälschte Windows Updater ransomware kann auch Massiv stören, mit der Windows Registrierungs-Editor, genauer gesagt mit sub-Schlüssel, ändern bestimmte Einstellungen wie das ausführen von Dateien auf system-boot-oder Hintergrundbild verändern:
→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
Zusätzlich zu dieser anderen Tätigkeit kann die Anzeige eines pop-up mit dem Namen der DATEI-SICHERHEIT GESCHÜTZT nach der Verschlüsselung der Dateien.
Die Verschlüsselung von Dateien kodiert durch Gefälschte Windows Updater Ransomware erfolgt über die stärkste AES (Advanced Encryption Algorithm) mit einer 256-bit-Stärke. Die Chiffre wird angewendet auf die verschlüsselten Dateien in Blöcken mit einem generierten Schlüssel. Für die Verschlüsselung des virus, die folgenden Arten von Dateien ausgerichtet sind, indem es:
→ .#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .die aaf .ab4, .ac2, .acc .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes .aet, .afm, .ai .aif, .amj, .wie, .as3, .asc, .asf, .asm, .asp .asx, .ati, .avi -, .zurück .bak, .die Fledermaus, das .bay .LC8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp -, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .Katze, .cb, .cd .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .GFP .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa .cpp, .cpt .cpw, .cpx, .crt .cs, .csl, .csr .css .csv -, .cur, .cus, .d07, .D / a-Wandler .dat .db .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, die .der dgc, .dif .dip, .djv, .djvu, .dng, .doc .docb, .docm, .docx, .dot .dotm, .dotx, .drw, .ds4, .dsb .dsf, .dtau, .dtd .dtl, .dwg -, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs .efsl, .efx, .emd .eml, .emp, .ens, .HNO, .epa, .epb, .eps -, .eqb, .ert .esk, .ess .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa .fcpr, .fcr .fef, .ffd -, .fim, .fla, .flac, .flv, .fmv .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem .gfi, .gif -, .gnc, .gpc, .gpg, .gsb .gto .gz, .h, .h10 .h11, .h12, .hbk, .hif, .hpp, .hsr, .html -, .hts, .hwp .i2b, .iban .ibd, .ico -, .idml, .iff, .iif, .img -, .imp .indb, .indd, .indl, .indt, .ini .int .intu, .inv .inx, .ipe .ipg .itf, .jar -, .java, .jng, .jp2, .jpeg -, .jpg -, .js, .jsd, .jsda, .jsp .kb7, .kd3, .kdc, .Schlüssel, .kmo, .kmy, .lag .lay6, .lcd .ldc, .ldf, .ldr, .lassen, .lgb, .lhr, .Deckel, .lin .lld, .lmr, .log .lua, .lz, .m, .m10 .m11, .m12, .m14 .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac .max .mbsb, .md, .mda .mdb .mdf, .mef .mem .erfüllt .meta, .mhtm, .Mitte, .mkv, .ml2, .ml9, .mlb, .mlc .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .MMS, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap .nd, .nef, .nl2, .nni, .npc, .nv .NA2, .oab .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc .ofx, .alt .omf .op .orf .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat .pcd, .pcif, .pct, .pcx -, .pd6, .pdb, .pdd, .pdf, .pem, .pro, .pfb, .pfd, .pfx, .pg .php, .pic .pl .plb, .pls, .plt, .pma .pmd, .png -, .pns, die .por .pot .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps .ppsm, .ppsx, .ppt -, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps .psd, .psp -, .pst, .die ptb .ptdb, .ptk .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .der qsd, .qsm, .qss, .qst, .qtx, .quic, .quo .qw5, .qwc, .qwmo, .qxf, .r3d .ra, .raf .rar -, .raw, .rb, .rcs .rda .rdy, .reb, .rec .resx, .rif, .rm .rpf, .rsspptm, .rtf .rtp .rw2, .rwl, .rz .s12, .s7z, .saf .saj, .sagen, .sba .sbc, .sbd, .sbf, .egz .sch .sct, .sdf .sdy, .Naht, .ses .set .shw, .sic, .skg .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc .std, .sti, .stm .str .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10 .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .Steuer, .tax0, .steuer1 .tax2, .tb2, .tbk, .tbp, .tdr, .text .tfx, .tga, .tgz, .tif -, .tiff -, .tkr, .tlg, .tom, .tpl, .trm wird .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt -, .u08, .u10, .u11, .u12, .uop, .ot, .v30, .vb .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk -, .vmx .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav -, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma -, .wmf, .wmv -, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc .xlk, .xll .xlm, .xlr, .xls -, .xlsb, .xlsm, .xlsx -, .xlt, .xltm, .xltx, .xlw, .xml -, .xpm, .xqx, .”yuv”.zdb .ziparc, .zipx, .zix, .zka
Nach der Verschlüsselung werden die Dateien angehängt, die verschlüsselte Datei-Erweiterung und angezeigt, wie das Bild unten zeigt:
Diese Art der Verschlüsselung ist namens ECB (Electronic Code Book) – Modus. Es zielt darauf ab, ersetzen Sie Blöcke von Daten von der legitimen Dateien mit Daten aus der Chiffre und einen eindeutigen Schlüssel für die Entschlüsselung erzeugt für jeden infizierten computer:
Quelle: Wikipedia
Der key kann dann an die cyber-kriminellen, und dann ein Lösegeld-Hinweis gelöscht wird, um das Opfer bewusst eine Erpressung stattfindet. Die note hat folgenden Inhalt:
Handbuch Updater Removal Guide
Schritt 1. Deinstallieren Updater und ähnliche Programme
Windows XP
- Öffnen Sie im Menü Start, und klicken Sie auf Systemsteuerung
- Wählen Sie hinzufügen oder Entfernen von Programmen
- Wählen Sie die unerwünschte Anwendung
- Klicken Sie auf Entfernen
Windows 7 und Vista
- Klicken Sie auf Start und wählen Sie Systemsteuerung
- Gehen Sie zum Deinstallieren eines Programms
- Mit der rechten Maustaste auf die verdächtige software
- Klicken Sie auf Deinstallieren
Windows 8
- Cursor an der unteren linken Ecke
- Mit der rechten Maustaste und öffnen Sie Systemsteuerung
- Klicken Sie auf Deinstallieren eines Programms
- Löschen Sie unerwünschte Anwendung
Schritt 2. Aus Ihrem Browser entfernen Updater
Updater aus Internet Explorer entfernen
- Öffnen Sie IE, und klicken Sie auf das Zahnradsymbol
- Wählen Sie Add-ons verwalten
- Entfernen Sie unerwünschte Erweiterungen
- Ändern der Startseite: Zahnrad-Symbol → Internet-Optionen (Registerkarte “Allgemein”)
- Ihren Browser: Zahnrad-Symbol → Internet-Optionen (Registerkarte Erweitert)
- Klicken Sie auf Zurücksetzen, aktivieren Sie das Kontrollkästchen und klicken Sie auf Zurücksetzen wieder
Löschen Sie Updater aus Mozilla Firefox
- Öffnen Sie Mozilla, und klicken Sie auf das Menü
- Wählen Sie Add-ons und gehen Sie zu Extensions
- Wählen Sie unerwünschte Add-on, und klicken Sie auf Entfernen
- Reset Mozilla: Alt + H → Informationen zur Fehlerbehebung
- Klicken Sie auf Reset Firefox, bestätigen Sie es und klicken Sie auf Fertig stellen
Deinstallieren Sie Updater von Google Chrome
- Öffnen Sie Google Chrome und klicken Sie auf das Menü
- Wählen Sie Extras → Erweiterungen
- Wählen Sie das Add-on, und klicken Sie auf Papierkorbsymbol
- Ändern Sie Ihre Suchmaschine: Menü → Einstellungen
- Klicken Sie unter Suche auf Suchmaschinen verwalten
- Löschen Sie unerwünschte Suchanbieter
- Ihren Browser einstellen: Einstellungen → Reset Browsereinstellungen
- Klicken Sie auf Zurücksetzen, um den Vorgang zu bestätigen