Cyber Security LAB

Infektionen fil af Aes-ni ransomware kan være et stærkt korrumperet JavaScript, der er skadelige eller dropper fil. Det kan også være en Trojansk hest eller andre malware, såsom botnet, der har tidligere udsat offeret PC.

Fordelingen af infektion fil, kan foregå via massive spam e-mail-kampagner, der sigter efter kun en ting – at narre brugere til at klikke på den skadelige fil eller en ondsindet web-link, der er indlejret i kroppen af e-mail, der sendes. Et eksempel på en sådan meddelelse, kan ses nedenfor:

Udover e-mail, cyber-kriminelle, der står bag Aes-ni infektion kan tillade sig at overføre skadelige filer på fil-deler websites, som torrent sites, for eksempel. Sådanne filer kan blive præsenteret for brugeren som centrale generatorer til at aktivere en licens til et program eller en revne eller programrettelse til forskellige software.

Andre infektioner metoder kan omfatte angreb via falske opdateringer eller som et resultat af en ondsindet browser omdirigering. Sådan kan ske, hvis brugeren har en annonce-understøttet potentielt uønskede program, også kendt som PUA.

Download værktøj til fjernelse affjerne Aes-ni

Når en infektion er sket, ved nogen af disse scenarier, Aes-ni ransomware ‘ s ondsindede filer kan være faldet på den inficerede computer. De omfatter:

• !!! LÆS DETTE – VIGTIGT !!!.txt
• .- tasten.aes_ni filer
• Exectuable filer, der ligger på %systemdrev%, %AppData% eller %Windows% – mapper.

Udover de primære skadelige filer af Aes-ni, virus kan også oprette kopier af filer eller støtte moduler i forskellige fil-typer (.dll, .tmp, .vbs .bat .exe) der kan være placeret i følgende Windows mapper:

• %AppData%
• %Roaming%
• %Lokale%
• %LocalLow%
• %SystemDrive%
• %Windows%
• %System32%

Aktiviteten af virus kan også omfatte ændringer af Windows Registreringsdatabasen sub-nøgler på en sådan måde, at skadelig eksekverbar fil, der krypterer filer, der kører på systemet starter op. De taster, der er målrettet til dette er følgende:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

I disse nøgler, Aes-ni virus kan oprette brugerdefinerede værdi strenge med stien til de ondsindede filer, så hvis du er ved at fjerne virus manuelt, du kan åbne de centrale og se, hvor den skadelige fil er placeret.

Den Aes-ni virus, der også udfører en kontrol af placering af den kompromitterede computer, og hvis computeren er fra en af de tidligere Sovjetiske lande, Aes-ni ransomware self-sletter og ikke kryptere filer.

Andre aktiviteter Aes-ni ransomware infektion kan omfatte ændring af Vinduet Skygge kopier via følgende administrative Winodws Kommando prompt kommando linjer:

→ proces kalder oprette “cmd.exe /c
vssadmin.exe slet skygger /alle /quiet
bcdedit.exe /set {default} recoveryenabled ingen
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Til at kryptere filer, kan denne ransomware virus bruger den såkaldte ECB krypteringsmetode. Denne krypteringsmetode omfatter flere forskellige krypterings-sekvenser. Den tilstand er også kendt som Electronic Code Book tilstand. Denne tilstand bruges, når mere end en blok af data med samme nøgle er krypteret én gang. Kryptering algoritme for ECB-tilstand kaldes Advanced Encryption Standard (AES), og er den stærkeste AES-256 bit. Derefter Aes-ni ransomware kan kombinere kryptering med RSA-algoritme, der genererer en unik dekrypteringsnøgle for hver fil eller gruppe af filer. Dekryptering nøgler kan derefter sendes via en krypteret forbindelse til servere af cyber-kriminelle, der står bag Aes-ni ransomware.

Download værktøj til fjernelse affjerne Aes-ni

Blandt de filer, der er krypteret med Aes-ni ransomware kan være følgende:

• Dokumenter.
• Musik.
• Videoer.
• Optagelserne.
• Billeder.
• Database filer.

Efter krypteringen er afsluttet, Aes-ni ransomware angiver en brugerdefineret filtype til de krypterede filer og de ser ud som følgende:

Det sidste trin af kryptering processen er at anmelde offer for de krypterede filer. Dette sker ved at droppe den løsesum notat af virus, ved navn !!! LÆS DETTE – VIGTIGT !!!.txt. Det har følgende indhold:

==========================# aes-ni ransomware #========================== █████╗ ██████╗██████╗ ███╗ ██╗ ██╗ ██╔â•â–ˆâ–ˆâ•—██╔â•â•â•â•â–ˆâ–ˆâ•”â•â•â•â• ████╗ ██║ ██║ ██████║█████╗ ██████╗███╗██╔██╗██║ ██║ ██╔â•â–ˆâ–ˆâ•‘██╔â•â•â• â•šâ•â•â•â–ˆâ–ˆâ•‘â•šâ•â•â•â–ˆâ–ˆâ•‘╚████║ ██║ ██║ ██║██████╗██████║ ██║ ╚███║ ██║ â•šâ•â• â•šâ•â•â•šâ•â•â•â•â•â•â•šâ•â•â•â•â•â• â•šâ•â• â•šâ•â•â• â•šâ•â• SORRY! Your files are encrypted. File contents are encrypted with random key (AES-256 bit; ECB mode). Random key is encrypted with RSA public key (2048 bit). We STRONGLY RECOMMEND you NOT to use any “decryption tools”. These tools can damage your data, making recover IMPOSSIBLE. Also we recommend you not to contact data recovery companies. They will just contact us, buy the key and sell it to you at a higher price. If you want to decrypt your files, you have to get RSA private key. In order to get private key, write here: 0xc030@protonmail.ch Also there is one fast way to contact us. If you are familiar with Jabber, write us to JID: zooolo@darknet.nz (it is Jabber, not e-mail address!) You can get Jabber account for example at https://www.xmpp.jp/signup IMPORTANT: In some cases malware researchers can block our e-mails. If you did not receive any answer on e-mail in 48 hours, please do not panic and write to BitMsg (https://bitmsg.me) address: BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN or create topic on https://www.bleepingcomputer.com/ and we will find you there. Also it will be better if you download Tor browser here: https://www.torproject.org/download/download-easy.html.en Download, install and run it; then visit our site (from Tor browser): http://kzg2xa3nsydva3p2.onion/index.php Please do not visit this site from standard browser: it just will not open. You need Tor Browser to open .onion sites. There is a form, you can write us there if all e-mails are blocked and we will contact you very fastly. If someone else offers you files restoring, ask him for test decryption. Only we can successfully decrypt your files; knowing this can protect you from fraud. You will receive instructions of what to do next. You MUST refer this ID in your message: {Unique ID}Also you MUST send all “.key.aes_ni” files from C:ProgramData if there are any. ==========================# aes-ni ransomware #========================== Download værktøj til fjernelse affjerne Aes-ni

Kilde: id-ransomware-blogspot.bg

Manual Aes-ni fjernelse Guide

Trin 1. Afinstallere Aes-ni og relaterede programmer

Windows XP

1. Åbn Start-menuen og klik på Kontrolpanel
2. Vælge Tilføj eller fjern programmer
3. Vælg det uønskede program
4. Klik på Fjern

Windows 7 og Vista

1. Klik på Start og vælg Control Panel
2. Gå til at afinstallere et program
3. Højreklik på den mistænkelige software
4. Vælg Afinstaller

Windows 8

1. Flyt markøren til det nederste venstre hjørne
2. Højreklik og Åbn Kontrolpanel
3. Vælg Fjern et program
4. Slet uønskede program

Trin 2. Fjern Aes-ni fra din browsere

Fjern Aes-ni fra Internet Explorer

1. Åbn IE, og klik på tandhjulsikonet
   
2. Vælg Administrer tilføjelsesprogrammer
   
3. Fjerne uønskede udvidelser
4. Skifte Startside: tandhjulsikonet → Internetindstillinger (fanen Generelt)
   
5. Nulstille din browser: tandhjulsikonet → Internetindstillinger (fanen Avanceret)
6. Klik på Nulstil, markere afkrydsningsfeltet og klikke på Nulstil igen
   

Slette Aes-ni fra Mozilla Firefox

1. Åbn Mozilla og klikke på menuen
   
2. Vælg tilføjelsesprogrammer og gå til Extensions
3. Vælg uønskede tilføjelsesprogram og klikke på Fjern
   
4. Nulstil Mozilla: Alt + H → fejlfinding oplysninger
   
5. Klik på Nulstil Firefox, bekræfte det og klik på Udfør
   

Afinstallere Aes-ni fra Google Chrome

1. Åben Google Chrome og klikke på menuen
   
2. Vælg værktøjer → udvidelser
3. Vælg tilføjelsesprogrammet og klik på papirkurvsikonet kan
   
4. Ændre din søgemaskine: Menu → indstillinger
5. Klik på Administrer søgemaskiner under Søg
   
6. Slet uønskede søgemaskine
   
7. Nulstille din browser: indstillinger → Nulstil webbrowserindstillinger
   
8. Klik på Nulstil for at bekræfte din handling