Cyber Security LAB

Fordelingen af denne virus med henblik på at inficere målrettet ofre kan ske via flere forskellige metoder:

Spam via e-mail, der indeholder enten ondsindede e-mail vedhæftet fil eller et link, der fører til infektion.

• Via web-injektorer.
• Via falske opdateringer af enten Windows, Flash Player, Java eller andre vigtige software.
• Via mistænkeligt hentet opsætninger, der er sluttede med skadelig kode.
• Via falske nøgle generatorer, spil, revner og andre software-aktivatorer, der uploades på toerrent sites.

Den mest almindelige metode til spredning ransomware, som Wallet variant, der stammer fra det CrypoMix familie af virus, er kendt som ” e-mail-spam. Disse avancerede spam-kampagner har til formål at være massivt sendt via spam software til computere over hele verden. De indeholder normalt dokumenter eller eksekverbare filer som vedhæftede filer, der er skadelig. Brugerne er bedraget, at vedhæftede filer, der er legitime fakturaer, kvitteringer og andre. For at lære at beskytte dig selv mod sådanne e-mails, anbefaler vi på det kraftigste at læse den relaterede artikel:

Når din computer er blevet inficeret med den .Wallet fil, virus, malware, der forårsager infektionen, der er normalt en pipette eller Trojan downloader, kan du hente det nyttelast. Dette kan opnås ved at forbinde til den følgende vært efter smitte.

Download værktøj til fjernelse affjerne Wallet

• 185.125.32.14/check/gif.php

Den downloadede nyttelast af Wallet infektion består af en fil med navnet monsendas.exe og det kan også have flere andre filer med forskellige navne, der ligger i vigtige Windows mapper:

Efter at have downloadet den nyttelast, Wallet virus kan manipulere med Windows registreringseditor til at ændre følgende undernøgler:

• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
• Texttt
• Texttt
• Texttt

I tillæg til dette, Wallet ransomware kan også fokusere på at slette Skyggen Volumen Kopier på den inficerede maskine, ved at udføre følgende kommandoer:

→ proces kalder oprette “cmd.exe /c
vssadmin.exe slet skygger /alle /quiet
bcdedit.exe /set {default} recoveryenabled ingen
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Svarende til Dharma .Wallet ransomware, denne version af CryptoMix kan fokusere på meget specifikke filer til at kryptere. Disse filer kan indeholde dokumenter, videoer, fotos, lyd-filer, filer, der er forbundet med arkiver og ofte anvendte programmer. Virus kan scanne for følgende filer til at kode dem:

Krypteringen af Wallet virus opnås ved at udføre ændringer på blokke af data i filer ved at erstatte deres oprindelige indhold med indhold fra den krypteringsalgoritme, der svarer til hvad billedet nedenfor viser:

De krypteringsalgoritmer, der bruges til dette, er følgende:

• Rivest-Shamir-Adlema også kendt som RSA med lidt styrke i 2048. (stærkeste stabil)t
• Avanceret Kryptering Algoritme, også kendt som Rijndael med en smule styrken af 256. (stærkeste stabil)

Efter krypteringen er afsluttet, sæt nøgler til dekryptering er genereret, er det private, som er sendt til cyber-kriminelle bag Wallet ransomware infektion. De filer, der ikke længere synes det samme:

Det sidste trin af virus er at anmelde offer via det løsesum besked:

All your files haue been encrypted! All your files haue been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail shield0@usa.com Write this ID in the title of your message ***** You haue to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. Vou haue to register, click ‘Buy bitcoins’, and select the seller by payment method and price. http://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: http://wviw.coindesk.com/information/how-can-i-buy-bitcoins Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. Download værktøj til fjernelse affjerne Wallet

Manual Wallet fjernelse Guide

Trin 1. Afinstallere Wallet og relaterede programmer

Windows XP

1. Åbn Start-menuen og klik på Kontrolpanel
2. Vælge Tilføj eller fjern programmer
3. Vælg det uønskede program
4. Klik på Fjern

Windows 7 og Vista

1. Klik på Start og vælg Control Panel
2. Gå til at afinstallere et program
3. Højreklik på den mistænkelige software
4. Vælg Afinstaller

Windows 8

1. Flyt markøren til det nederste venstre hjørne
2. Højreklik og Åbn Kontrolpanel
3. Vælg Fjern et program
4. Slet uønskede program

Trin 2. Fjern Wallet fra din browsere

Fjern Wallet fra Internet Explorer

1. Åbn IE, og klik på tandhjulsikonet
   
2. Vælg Administrer tilføjelsesprogrammer
   
3. Fjerne uønskede udvidelser
4. Skifte Startside: tandhjulsikonet → Internetindstillinger (fanen Generelt)
   
5. Nulstille din browser: tandhjulsikonet → Internetindstillinger (fanen Avanceret)
6. Klik på Nulstil, markere afkrydsningsfeltet og klikke på Nulstil igen
   

Slette Wallet fra Mozilla Firefox

1. Åbn Mozilla og klikke på menuen
   
2. Vælg tilføjelsesprogrammer og gå til Extensions
3. Vælg uønskede tilføjelsesprogram og klikke på Fjern
   
4. Nulstil Mozilla: Alt + H → fejlfinding oplysninger
   
5. Klik på Nulstil Firefox, bekræfte det og klik på Udfør
   

Afinstallere Wallet fra Google Chrome

1. Åben Google Chrome og klikke på menuen
   
2. Vælg værktøjer → udvidelser
3. Vælg tilføjelsesprogrammet og klik på papirkurvsikonet kan
   
4. Ændre din søgemaskine: Menu → indstillinger
5. Klik på Administrer søgemaskiner under Søg
   
6. Slet uønskede søgemaskine
   
7. Nulstille din browser: indstillinger → Nulstil webbrowserindstillinger
   
8. Klik på Nulstil for at bekræfte din handling