Cyber Security LAB

Den Falske Windows Updater ransomware infektion kan spredes via forskellige teknikker. Virus kan bruge tredjeparts-installatører via falske web-sider, der vises til brugeren en besked, der beder om at opdatere computeren. Derfor, brugere kan downloade filen, som hedder 1xxx106Updater1xxx.exe der er ikke en egentlig Updater, men snarere en loader, eller dropper af skadelige filer af denne ransomware virus. Normalt er en sådan distribution websteder er alle over internettet, men de kan blive vist som pop-ups på en computer, i tilfælde af at der er en ad-støttede program, der er potentielt uønskede, med andre ord, adware eller en browser flykaprer app installeret.

Aktiviteten af den Falske Windows Updater virus består af flere forskellige aktiviteter, som er den første til at droppe de skadelige filer på den inficerede maskine. Den primære filer, der er forbundet med Falske Windows Updater ransomware er følgende:

• WindowsUpdater.exe
• Translation-Report.docx.exe

For at slippe de filer, virus kan også oprette forbindelse med de følgende værter:

Download værktøj til fjernelse affjerne Updater

• hxxps://ganedata.co.uk/ransomware/ransomware.php
• hxxps://ganedata.co.uk/Transaction-Report.docx.exe

Efter allerede at etablere forbindelse til den herre, den ransomware virus kan begynde at slette skygge mængde eksemplarer af den inficerede computer. Dette er muligt i baggrunden, ved at indtaste følgende kommandoer via et script:

→ proces kalder oprette “cmd.exe /c
vssadmin.exe slet skygger /alle /quiet
bcdedit.exe /set {default} recoveryenabled ingen
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Ud over manipulation med Windows skygge eksemplarer, den Falske Windows Updater ransomware kan også stærkt forstyrre Windows registreringseditor, mere specifikt med sub-tasterne for at ændre visse indstillinger såsom at køre filer på systemet til at starte eller ændre tapet:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

I tillæg til denne, en anden aktivitet kan være at vise en pop-up, der Er navngivet FIL SIKKERHED BESKYTTET efter at kryptere filer.

Krypteringen af filer, der er kodet af Falske Windows Updater Ransomware er gennemført via den stærkeste AES (Advanced Encryption Algorithm) med en 256-bit styrke. Koden er anvendt på de krypterede filer i blokke med en genereret nøgle. For krypteringen af denne virus, følgende typer af filer, der er ramt af det:

→ .#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac .aaf, .ab4, .ac2, .acc .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .flyvehåndbogen .ai, .aif, .amj, .som, .as3, .asc, .asf .asm .asp, .asx, .ati .avi, .tilbage .bak, .bat .- bugten .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .kat .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .fælles fiskeripolitik .cgm, .cgn, .ch .ændr, .cht, .clas, .clk, .cmd .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr .css .csv .cur, .cus, .d07, .dac .dat, .bf, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ef8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens .ent, .epa, .epb, .loo .eqb, .ert, .esk, .ess .esv, .af forbrugere, .ets .exp .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .perle .gfi, .gif .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int .intu, .o, .inx, .ipe, .ipg, .itf, .krukke, .java .jng, .jp2, .jpeg .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .- tasten, .kmo, .kmy, .lå .lay6, .lcd, .de mindst udviklede lande, .ldf, .ldr, .lad, .lgb, .lhr, .låget .lin, .lld, .lmr, .log .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16 .m3u -, .m3u8, .m4a, .m4u, .m4v, .mac, .max .mbsb, .md, .mda .mdb .mdf, .mef, .mem, .opfyldt .i meta .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .multinationale fremme, .mnp, .mny, .mone, .mov, .mp2, .mp3 .mp4, .mpa .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mø, .mx0, .bak, .mye, .myi, .myox, .n43, .lur, .nd, .nef, .nl2, .nni, .npc, .nv .nv2, .oab, .obi .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .gamle, .omf, .op, .orf, .ost .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat .pcd, .pcif, .pct .pcx, .pd6, .fbf .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic .pl, .plb, .pls, .plt, .pma, .pmd, .png .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps .automatisk, .ppsx .ppt, .pptx, .pr0 .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn .prpr, .ps .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .brugerdokumentation, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf .rar, .rå, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rsspptm, .rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .at sige, .”small business act”.sbc, .sbd, .sbf, .scd .sch, .sct, .sdf, .sdy, .søm, .ses, .angiv, .shw, .sic .skg, .sldm, .sldx, .slk, .slp, .sql .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13 .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tjære, .skat, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .tekst, .tfx, .tga, .tgz, .tif .tiff .tkr, .tlg, .tom .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb .vbpf, .vbs .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma .wmf .wmv, .wpd, .wpg, .wps .x3f, .xaa, .xcf, .xeq, .xhtm, .xla., .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka

Download værktøj til fjernelse affjerne Updater

Efter kryptering af filer, der er tilføjet den krypterede fil udvidelse og fremstå som billedet nedenfor viser:

Denne form for kryptering er opkaldt ECB (Electronic Codebook) – tilstand. Det har til formål at erstatte blokke af data fra den legitime filer med data fra cipher og en unik dekrypteringsnøgle er genereret for hver inficerede computer:

Kilde: Wikipedia

Nøglen kan derefter blive sendt til cyber-kriminelle, og derefter en løsesum, der venligst er faldet til at gøre offer opmærksom på en afpresning finder sted. Den bemærkning har følgende indhold:

YOUR FILES HAS BEEN ENCRYPTED Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. Now you have the last chance to decrypt your files. 1. Buy Bitcoin (https://en.bitcoin.it/wiki/Buying_bitcoins) 2. Send amount of 0.02 BTC to address: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE 3. Transaction will take about 15-30 minutes to confirm. 4. When transaction is confirmed, send email to us at ransomwareinc@yopmail.com 5. Write subject of your mail with : ‘Restore my files ***’ 6. Write content of your mail with : ‘Bitcoin payment : (YOUR BITCOIN TRANSACTION ID) Computer Identifier : {UNIQUE ID} 7. We will contact you back with your private key.

Manual Updater fjernelse Guide

Trin 1. Afinstallere Updater og relaterede programmer

Windows XP

1. Åbn Start-menuen og klik på Kontrolpanel
2. Vælge Tilføj eller fjern programmer
3. Vælg det uønskede program
4. Klik på Fjern

Windows 7 og Vista

1. Klik på Start og vælg Control Panel
2. Gå til at afinstallere et program
3. Højreklik på den mistænkelige software
4. Vælg Afinstaller

Windows 8

1. Flyt markøren til det nederste venstre hjørne
2. Højreklik og Åbn Kontrolpanel
3. Vælg Fjern et program
4. Slet uønskede program

Trin 2. Fjern Updater fra din browsere

Fjern Updater fra Internet Explorer

1. Åbn IE, og klik på tandhjulsikonet
   
2. Vælg Administrer tilføjelsesprogrammer
   
3. Fjerne uønskede udvidelser
4. Skifte Startside: tandhjulsikonet → Internetindstillinger (fanen Generelt)
   
5. Nulstille din browser: tandhjulsikonet → Internetindstillinger (fanen Avanceret)
6. Klik på Nulstil, markere afkrydsningsfeltet og klikke på Nulstil igen
   

Slette Updater fra Mozilla Firefox

1. Åbn Mozilla og klikke på menuen
   
2. Vælg tilføjelsesprogrammer og gå til Extensions
3. Vælg uønskede tilføjelsesprogram og klikke på Fjern
   
4. Nulstil Mozilla: Alt + H → fejlfinding oplysninger
   
5. Klik på Nulstil Firefox, bekræfte det og klik på Udfør
   

Afinstallere Updater fra Google Chrome

1. Åben Google Chrome og klikke på menuen
   
2. Vælg værktøjer → udvidelser
3. Vælg tilføjelsesprogrammet og klik på papirkurvsikonet kan
   
4. Ændre din søgemaskine: Menu → indstillinger
5. Klik på Administrer søgemaskiner under Søg
   
6. Slet uønskede søgemaskine
   
7. Nulstille din browser: indstillinger → Nulstil webbrowserindstillinger
   
8. Klik på Nulstil for at bekræfte din handling