Cyber Security LAB

Den HERMES ransomware virus er rapporteret af malware analytikere til at spredes via ondsindede e-mail-spam-beskeder. Disse beskeder kan indeholde:

En ondsindet web link eller et link til en webside, der fører til download af infektion fil.
Infektionen fil indlejret som en vedhæftet fil(dokument med ondsindede makroer, eksekverbare, JavaScript-fil eller andre skadelige eksekverbare filer).

Andre metoder, som HERMES 2.0 infektion kan forekomme, er via brugen af skadelige exploit kits, opdateringer samt inficerede installatører, ompakket filer og falske nøgle generatorer eller software aktivatorer. Sådan kan uploades på torrent websteder samt websteder, der er risikabelt. Sådan kan åbnes automatisk ved at have et potentielt uønsket program, der forårsager omdirigeringer(http://cyber-securitylab.com/remove-wowstart-online-redirect/) på din web browser.

Når brugeren åbner infektion fil af ransomware virus, der kan oprette forbindelse til en ekstern vært og slip følgende filer på den inficerede maskine:

Download værktøj til fjernelse affjerne HERMES

• Reload.exe
• system_.bat
• skygge.bat
• DECRYPT_INFO.txt
• DECRYPT_INFORMATION.html
• UNIQUE_ID_DO_NOT_REMOVE
• HERMES.exe
• skygge.vbs

Ud over de filer, virus kan også falde de følgende objekter:

• Cversions.2.db
• Computer Management.lnk
• Flere .db objekter med tilfældige navne, beliggende i %Caches% directory.

Når en infektion er sket, HERMES 2.0 ransomware kan straks begynde at bruge den metode, Evelen at omgå den UAC service. Så virus kan udføre følgende kommandoer uden at brugeren opdager det med det formål at slette øjebliksbilleder:

→ proces kalder oprette “cmd.exe /c
vssadmin.exe slet skygger /alle /quiet
bcdedit.exe /set {default} recoveryenabled ingen
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Sletning af øjebliksbilleder, omfatter sletning af filer med de følgende fil typer:

→ .VHD .bac .bak .wbcat .bkf ,backup, .angiv, .vinde .dsk

Efter at virus har slettet øjebliksbilleder, kan det begynde ændringer i Windows Registry Editor. Disse ændringer kan omfatte angriber køre og køre, når windows taster med følgende data:

→ HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun” /v “allkeeper” /t REG_SZ /d “%USERPROFILE%DesktopDECRYPT_INFORMATION.html” /f
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun” /v “sysrep” /t REG_SZ /d “%PUBLIC%Reload.exe” /f
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun” /v “allkeeper” /t REG_SZ /d
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun” /v “sysrep” /t REG_SZ /d
HKCUSoftwareMicrosoftWindowsCurrentVersionRunallkeeper C:usersUserDesktopDECRYPT_INFORMATION.html

Efter Reload.exe filen har været løb, den ransomware virus begynder krypteringen.

Krypteringen af HERMES 2.0 ransomware mål en masse forskellige filtyper, der skal kodes. Fil extensions, som er krypteret, hvis opdages ved denne ransomware virus er rapporteret af malware forskere til at være følgende:

→ .accdb, .agif, .awdb, .bean .cdmm, .cdmz, .cdr3, .cdr4, .cdr6, .cdrw, .clkw, .crwl, .ddoc, .djvu, .docm, .docx, .docz, .dotm, .dotx, .dtsx, .emlx, .epsf, .fdxt, .fh10, .fh11, .fodt, .fpos, .ft10, .ft11, .fwdn, .gdoc, .gfie, .glox, .gthr, .hpgl, .html .ikon .idé .itc2, .itdb, .jbig, .jpeg .jpg2, .jrtf, .kdbx, .mbox, .mell, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .mmat, .mobi, .mrxs, .pano, .bille, .pjpg, .pntg, .pobj, .pptm, .pptx, .psdx, .psid, .rctd, .reloc, .riff, .s2mv, .spar, .scad, .sdoc, .smil, .ssfn, .sumo, .svgz, .tekst, .tiff .utf8 .vrml, .vsdm, .vsdx, .vstm, .vstx, .wbmp, .webp, .wmdb, .xhtm, .xlgc, .xlsb, .xlsm, .xlsx, .zabw (700 mere)

Download værktøj til fjernelse affjerne HERMES

For krypteringen, denne iteration af HERMES ransomware bruger den fil forlængelse af det navn, og tilføjer, at det uden en adskilt, dot. Filerne vises som følgende:

Kryptering af HERMES 2.0 er udført med bistand af to af de mest sofistikerede cifre, der er så langt, AES og RSA algoritmer. Kryptering-processen omfatter kryptering af filer via AES-cipher ‘ en og derefter RSA cipher føjer en ekstra nøgle til de filer, der er unik for hver infektion.

Efter at denne er afsluttet, vil den private dekryptering oplysninger, der Er sendt til cyber-kriminelle, og den anden version giver følgende løsesum venligst beder til at kontakte cyber-kriminelle via Bitmessage adresse:

Manual HERMES fjernelse Guide

Trin 1. Afinstallere HERMES og relaterede programmer

Windows XP

1. Åbn Start-menuen og klik på Kontrolpanel
2. Vælge Tilføj eller fjern programmer
3. Vælg det uønskede program
4. Klik på Fjern

Windows 7 og Vista

1. Klik på Start og vælg Control Panel
2. Gå til at afinstallere et program
3. Højreklik på den mistænkelige software
4. Vælg Afinstaller

Windows 8

1. Flyt markøren til det nederste venstre hjørne
2. Højreklik og Åbn Kontrolpanel
3. Vælg Fjern et program
4. Slet uønskede program

Trin 2. Fjern HERMES fra din browsere

Fjern HERMES fra Internet Explorer

1. Åbn IE, og klik på tandhjulsikonet
   
2. Vælg Administrer tilføjelsesprogrammer
   
3. Fjerne uønskede udvidelser
4. Skifte Startside: tandhjulsikonet → Internetindstillinger (fanen Generelt)
   
5. Nulstille din browser: tandhjulsikonet → Internetindstillinger (fanen Avanceret)
6. Klik på Nulstil, markere afkrydsningsfeltet og klikke på Nulstil igen
   

Slette HERMES fra Mozilla Firefox

1. Åbn Mozilla og klikke på menuen
   
2. Vælg tilføjelsesprogrammer og gå til Extensions
3. Vælg uønskede tilføjelsesprogram og klikke på Fjern
   
4. Nulstil Mozilla: Alt + H → fejlfinding oplysninger
   
5. Klik på Nulstil Firefox, bekræfte det og klik på Udfør
   

Afinstallere HERMES fra Google Chrome

1. Åben Google Chrome og klikke på menuen
   
2. Vælg værktøjer → udvidelser
3. Vælg tilføjelsesprogrammet og klik på papirkurvsikonet kan
   
4. Ændre din søgemaskine: Menu → indstillinger
5. Klik på Administrer søgemaskiner under Søg
   
6. Slet uønskede søgemaskine
   
7. Nulstille din browser: indstillinger → Nulstil webbrowserindstillinger
   
8. Klik på Nulstil for at bekræfte din handling