Cyber Security LAB

El proceso de infección de GX40 ransomware es similar a cualquier otro ransomware virus por ahí. El virus puede inicialmente ser distribuido con la ayuda de e-mail mensajes de spam con archivos maliciosos y archivos adjuntos incrustados dentro de ellos. Una vez que los archivos adjuntos incrustados, que son acompañados por un engañoso mensajes para engañar al usuario en la apertura de ellos. Pueden pretender ser:

• Una factura de una compra, el usuario es engañado para haber hecho.
• Un documento de un banco, afirmando que existe una actividad sospechosa.
• Falso de PayPal, FedEx u otros documentos.

Una vez que el archivo malicioso en el archivo se abre, la infección es inmediata y el virus utiliza un cargador para soltar la carga.

Otros métodos de infección por GX40 ransomware es si el virus se aprovecha de instaladores falsos, falsos Windows actualizaciones y cualquier otro archivo que puede parecer legítimo. Incluso puede ser encontrado en sitios web de torrent como un juego falso parche o el juego de la grieta que se utiliza generalmente para la licencia sin licencia de las versiones de los programas o juegos.

Descargar herramienta de eliminación depara eliminar GX40

Una vez que el cargador de este virus ya ha abandonado los archivos maliciosos en el ordenador de la víctima, es probable que esté situado en las carpetas siguientes:

• %AppData%
• %LocalLow%
• %De Roaming%
• %Local%
• %Windows%

Dos de los ejecutables maliciosos pertenecientes a GX40 infección de ransomware son reconocidos para ser el siguiente:

Después de ser activada, los archivos maliciosos de virus puede contener un código malicioso dentro de ellos que pueden modificar el volumen en la sombra de las copias de la computadora infectada, por lo que son eliminados sin que el usuario se percate. Esto se puede lograr mediante la ejecución de los siguientes comandos, principalmente la vssadmin línea:

→ llamada de procesos crear “cmd.exe /c
vssadmin.exe delete sombras /todos /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Además de esta actividad, el GX40 infección de ransomware también puede alterar la Windows el editor del registro de la PC de la víctima, haciendo que el ejecutable malicioso que cifra los archivos que se ejecute cuando el Windows sistema de botas:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

El proceso de cifrado de los archivos por este virus se realiza con la ayuda del algoritmo de cifrado Rijndael también conocido como AES. El sistema de cifrado cifra los archivos en bloques que son 129 bits en el tamaño y la fuerza del cifrado puede ser de 128, 192 o 256 bits(más fuerte) de cifrado. El algoritmo de cifrado es también utilizado por el gobierno de los estados UNIDOS y se genera una clave simétrica después de cifrar los archivos. Esta clave es la misma para todos los archivos bloqueados y puede ser enviado a los ciber-criminales’ servidores de comando y control.

Descargar herramienta de eliminación depara eliminar GX40

Entre los archivos que el GX40 objetivos de virus para el cifrado de los siguientes tipos de archivos importantes:

• Los documentos de Microsoft Office.
• Archivos de OpenOffice.
• Los documentos PDF.
• Los archivos de texto.
• Los archivos de imagen.
• Los archivos de Audio.
• Los vídeos.
• Los archivos almacenados y los diferentes tipos de archivos.

Después de que el proceso de cifrado se completa, los archivos ya no son capaces de abrirse y se anexan los .cifrados de la extensión de archivo. Pueden aparecer como se muestra en la imagen de abajo:

Después de la codificación, el virus hace que el usuario sabe de su presencia por la caída de una pantalla de nota(ver imágenes en el inicio anterior) solicitar pagar un 80 dólares de rescate. Se tiene los siguientes mensajes dentro de ella:

Main Screen: YOUR FILE HAS ENCRYPTED GX40 All of your important files has been encrypted by Ransomware OPEN NOTICE GX40 Ransomware Contact me to make payment and make sure to attach yor identifier GX40@YAHOO.COM IDENTIFIER: {unique A-Z 0-9 digits ‘COPY’ ‘RESTORE’ GX40-NOTICE: NOTICE by : GX40 All Your Personal Files Are Encrypted All your data (photos, documents, and other files) have been encrypted with a private and unique key generated fot this computer. It means that yout will not be able to access your files anymore until they’re decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment. The payment has to be done in Bitcoint to a unique address that we generated for you. Bitcoins are a virtual currency to make online payments. IF you don’t know to get Bitcoins, you can google “HOW TO BUY BITCINS” and follow the instructions. YOU ONLY HAVE 2 DAYS TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to $80. Also, if you dont pay in 7 days, your unique key wil be destroyed and you wont be able to recover your files anymore. To recover your files and unlock your computer, you mush send 0.07214 BTC or 80 USD, to the next Bitcoin address : 12EN79yZyZpEvfnQPHUqyhEtrWU4W3UrDn WARNING! DO NOT TRY GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS.

Guía de extracción manual GX40

Paso 1. Desinstalar GX40 y programas relacionados

Windows XP

1. Abra el menú Inicio y haga clic en Panel de Control
2. Seleccione Agregar o quitar programas
3. Seleccione la aplicación no deseada
4. Haga clic en quitar

Windows 7 y Vista

1. Haga clic en Inicio y seleccione Panel de Control
2. Ir a desinstalar un programa
3. Haga clic derecho sobre el software sospechoso
4. Seleccione Desinstalar

Windows 8

1. Mover el cursor a la esquina inferior izquierda
2. Haga clic derecho y abrir Panel de Control
3. Seleccione Desinstalar un programa
4. Eliminar aplicaciones no deseadas

Paso 2. Quitar GX40 de su navegador

Quitar GX40 de Internet Explorer

1. Abra IE y haga clic en el icono del engranaje
   
2. Seleccione Administrar complementos
   
3. Quitar las extensiones no deseadas
4. Cambiar tu página de Inicio: icono de engranaje → opciones de Internet (ficha General)
   
5. Reiniciar el navegador: icono de engranaje → opciones de Internet (ficha Avanzadas)
6. Haga clic en restablecer, marque la casilla y hacer clic en Reset
   

Borrar GX40 de Mozilla Firefox

1. Abrir Mozilla y haga clic en el menú
   
2. Elija complementos e ir a extensiones
3. Seleccione Add-on no deseado y haga clic en quitar
   
4. Reiniciar Mozilla: Información de solución de problemas de → Alt + H
   
5. Haga clic en Reset Firefox, confirmarlo y haga clic en finalizar
   

Desinstalar GX40 de Google Chrome

1. Abra Google Chrome y haga clic en el menú
   
2. Seleccione Herramientas → extensiones
3. Elegir el complemento y haz clic en el icono de la papelera
   
4. Cambiar su motor de búsqueda: menú → configuración
5. Haga clic en administrar motores de búsqueda en la búsqueda de
   
6. Eliminar proveedor de búsqueda indeseables
   
7. Reiniciar el navegador: navegador ajustes → Reset
   
8. Haga clic en restablecer para confirmar su acción