Cyber Security LAB

Para infectar a tantos usuarios como sea posible, el virus se puede propagar a través maliciosos, archivos adjuntos de correo electrónico, así como el archivo de los descargadores de web maliciosos y enlaces incrustados dentro de los e-mails. Tal spam e-mails son responsables de más del 80% de las infecciones de ransomware y los ciber-criminales de usuario más recientes y las nuevas técnicas de evasión para eludir la protección de los e-mails. Una de las técnicas usadas es masivo de spam bots que se extendió archivos adjuntos o enlaces a páginas web de Dropbox o de Google drive o en la nube cuentas que contienen los archivos maliciosos. Los e-mails que contienen convincente instrucciones para abrir los datos adjuntos/haga clic en los enlaces en la web:

Otros métodos de infección, además de a través de este tipo de e-mails se envían incluyen la infección a través de diferentes tipos de actualizaciones falsas, juego de parches, software activadores, generadores de claves o cualquier otro software que se puede cargar en sospechoso de sitios de torrents o descarga de software de los sitios.

Descargar herramienta de eliminación depara eliminar BlackRose

Después de que el archivo malicioso causante de la infección ha sido abierto, el BlackRose virus puede soltar la carga en algunas de las siguientes Windows carpetas:

• %AppData%
• %De Roaming%
• %Local%
• %LocalLow%
• Carpeta %SystemDrive%
• %Windows%
• %System32%

Los archivos pueden ser nombrada como el siguiente:

→ READ_IT_FOR_GET_YOUR_FILE.txt (nota de Rescate)
Cómo install.pdf.exe
Cómo install.exe
{al azar con nombre de archivo}.exe
Archivo Decryptor.exe

Después de que los archivos pertenecientes a BlackRose ransomware son ya cayó en el equipo infectado, el virus puede modificar el Run y Run claves de registro en la máquina comprometida. Son sub-claves de la Windows el editor del Registro responsable de que los elementos se ejecutan en Windows de arranque. El virus puede modificar de modo que los archivos maliciosos de BlackRose ejecutar en el arranque del sistema.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Además de modificar el editor del registro, los BlackRose virus también se puede eliminar instantáneas y dejar de Windows servicio de copia de seguridad. Esto se puede lograr mediante la ejecución de un script que se ejecuta los siguientes comandos en segundo plano, sin que la víctima notar:

→ llamada de procesos crear “cmd.exe /c
vssadmin.exe delete sombras /todos /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

BlackRose ransomware utiliza el algoritmo de cifrado AES para codificar archivos en los ordenadores que han sido infectados por el virus. La infección de ransomware utiliza un procedimiento de encriptación que reemplaza el núcleo de la estructura de los archivos. Esto hace que los archivos ya no abrible.

Entre los archivos de destino puede ser la siguiente:

Descargar herramienta de eliminación depara eliminar BlackRose

→ “PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .La EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BATE .CGI .COM .EXE .GADGET .TARRO .PIF .FSM .DEM .GAM .NES .ROM .SAV Archivos CAD .DWG .DXF SIG Archivos .GPX .KML .KMZ .ASP .ASPX .CER .CFM .La RSE .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .REGISTRO .MSG .ODT .PÁGINAS .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .CLAVE .LLAVERO .PPS .PPT .PPTX ..INI .PRF los Archivos Codificados .HQX .MIM .UUE .7Z .La RBC .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .La DMG .ISO .MDF .Pan TOSTADO .VCD SDF .El ALQUITRÁN .TAX2014 .TAX2015 .VCF .XML Archivos de Audio .La FIA .El FIB .M3U .M4A .A MEDIADOS de .MP3 .MPA .WAV .WMA Archivos de Vídeo .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R. BMP .DDS .GIF .JPG ..CRX .En el COMPLEMENTO .FNT .FON .OTF .TTF .La CABINA .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com

El virus es muy cuidadoso de no cifrar los archivos importantes en el PC del usuario, que puede dañar Windows. Después de que el proceso de cifrado es completa, BlackRose deja los archivos en el siguiente estado:

Después de que el proceso de cifrado por BlackRose ha terminado, la infección de ransomware, la baja de la nota de rescate, por lo que es fácil de notar. En ella, la exigencia de la víctima a pagar 1 BTC de lo contrario, los archivos se perderán para siempre. La nota se denomina READ_IT_FOR_GET_YOUR_FILE.txt y tiene el siguiente contenido:

“Files has been encrypted Send me some 1 bitcoins or more to Address BITCOIN : 3Q2hTDPt1LMAAgQsNQAPJQxb9ZiwA***** After Payment bitcoin please send your Address Bitcoin Payment to me at black-rose@outlook.co.th I will give File Decryptor for you in 24HR…”

Guía de extracción manual BlackRose

Paso 1. Desinstalar BlackRose y programas relacionados

Windows XP

1. Abra el menú Inicio y haga clic en Panel de Control
2. Seleccione Agregar o quitar programas
3. Seleccione la aplicación no deseada
4. Haga clic en quitar

Windows 7 y Vista

1. Haga clic en Inicio y seleccione Panel de Control
2. Ir a desinstalar un programa
3. Haga clic derecho sobre el software sospechoso
4. Seleccione Desinstalar

Windows 8

1. Mover el cursor a la esquina inferior izquierda
2. Haga clic derecho y abrir Panel de Control
3. Seleccione Desinstalar un programa
4. Eliminar aplicaciones no deseadas

Paso 2. Quitar BlackRose de su navegador

Quitar BlackRose de Internet Explorer

1. Abra IE y haga clic en el icono del engranaje
   
2. Seleccione Administrar complementos
   
3. Quitar las extensiones no deseadas
4. Cambiar tu página de Inicio: icono de engranaje → opciones de Internet (ficha General)
   
5. Reiniciar el navegador: icono de engranaje → opciones de Internet (ficha Avanzadas)
6. Haga clic en restablecer, marque la casilla y hacer clic en Reset
   

Borrar BlackRose de Mozilla Firefox

1. Abrir Mozilla y haga clic en el menú
   
2. Elija complementos e ir a extensiones
3. Seleccione Add-on no deseado y haga clic en quitar
   
4. Reiniciar Mozilla: Información de solución de problemas de → Alt + H
   
5. Haga clic en Reset Firefox, confirmarlo y haga clic en finalizar
   

Desinstalar BlackRose de Google Chrome

1. Abra Google Chrome y haga clic en el menú
   
2. Seleccione Herramientas → extensiones
3. Elegir el complemento y haz clic en el icono de la papelera
   
4. Cambiar su motor de búsqueda: menú → configuración
5. Haga clic en administrar motores de búsqueda en la búsqueda de
   
6. Eliminar proveedor de búsqueda indeseables
   
7. Reiniciar el navegador: navegador ajustes → Reset
   
8. Haga clic en restablecer para confirmar su acción