Cyber Security LAB

El Falso Windows Updater ransomware infección se puede propagar a través de diferentes técnicas. El virus puede utilizar instaladores de terceros a través de páginas web fraudulentas que mostrar al usuario un mensaje que pide para actualizar el equipo. Por lo tanto, los usuarios pueden descargar el archivo, llamado 1xxx106Updater1xxx.exe que no es propiamente un Updater, sino más bien un gestor o un gotero de los archivos maliciosos de este virus ransomware. Usualmente este tipo de sitios web de distribución son todos a través de la web, pero pueden aparecer como pop-ups en un equipo, en caso de que exista un apoyo de ad aplicación potencialmente no deseada, en otras palabras, adware o un secuestrador de navegador instalada la aplicación.

La actividad de la Falsa Windows Updater virus se compone de varias actividades diferentes, el primero de los cuales es colocar los archivos maliciosos en la máquina infectada. La primaria de archivos asociados con la Falsa Windows Updater ransomware son los siguientes:

Descargar herramienta de eliminación depara eliminar Updater

• WindowsUpdater.exe
• Translation-Report.docx.exe

Para soltar los archivos, el virus también se puede establecer la conexión con el host siguientes:

• hxxps://ganedata.co.uk/ransomware/ransomware.php
• hxxps://ganedata.co.uk/Transaction-Report.docx.exe

Después de establecer la conexión con los anfitriones, el ransomware virus puede comenzar a eliminar la sombra copias del volumen de la computadora infectada. Este es un objetivo alcanzable en el fondo mediante la introducción de los siguientes comandos a través de una secuencia de comandos:

→ llamada de procesos crear “cmd.exe /c
vssadmin.exe delete sombras /todos /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Además de la manipulación de los Windows instantáneas, el Falso Windows Updater ransomware también puede interferir fuertemente con la Windows el Editor del Registro, más específicamente con la sub-claves que modificar ciertos parámetros de configuración, tales como ejecutar los archivos de inicio del sistema o cambiar el papel tapiz:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Además de esto, otra actividad puede ser la de mostrar un pop-up que Se denomina SEGURIDAD de ARCHIVOS PROTEGIDOS después de cifrar los archivos.

El proceso de cifrado de archivos codificados por los Falsos Windows Updater Ransomware se lleva a cabo a través de los más fuertes AES (Advanced Encryption Algorithm) con una de 256-bit de la fuerza. El sistema de cifrado se aplica a los archivos cifrados en bloques con una clave generada. Para el proceso de cifrado de este virus, los siguientes tipos de archivos son objeto de la misma:

→ .#vc, .$ca, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf .ab4, .ac2, .acc, .accd, .la ach .aci .acm, .acr, .la aep, .aepx, .aes, .aet, .afm .ai, .aif, .amj, .como, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .de nuevo, .bak, .bat, .de la bahía, .ac8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal .cat, .cb, .cd .cdf .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .ppc .cgm .cgn, .ch, .chg, .cht, .clas, .clk, .cmd .cmx, .cnt .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .la rse, .css, .csv, .cur, .cus, .d07, .dac .dat, .db .dbf, .dch, .dcr, .ddd, .dds, .defx, .der .des, .dgc, .dif .dip, .djv, .djvu .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .osd .dsf, .dtau, .dtd .dtl, .dwg, .dxf, .dxi, .ebc, .ebd .ebq, .ec8, .efs .efsl, .efx, .emd .eml, .emp .ens, .ent, .epa, .epb, .eps, .la jca .ert, .esk, .see .esv, .etq, .ets).exp, .fa1, .fa2, .la fca, .la fcpa, .la fcpr, .fcr .fef, .ffd, .la fim .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1 .fxr, .fxw, .la fjc, .gdb, .gema, .gfi, .gif, .gnc, .la gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11 .h12 .hbk, .hif .hidroeléctrica .hsr, .html, .hts, .hwp, .i2b, .iban, .eii .ico, .idml .el fib, .iif .img, .imp, .indb, .indd, .indl, .indt, .ini, .de tipo int .intu, .inv, .inx, .ipe .ipg, .itf .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp .rb7, .kd3, .kdc .clave .kmo, .bmd, .como laicos .lay6, .lcd .de los pma .ldf, .ldr, .vamos, .lgb, .lhr, .tapa .lin, .lld, .lmr, .registro .lua .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max .mbsb, .md, .mda .mdb, .mdf, .mef, .mem .se reunió, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .la mlb, .mlc .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mqs, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .siesta, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab .obi .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc .ofx, .de edad, .omf, .op .orf, .ost, .otg, .la fiscalía, la .la oet, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .por, .pfb, .pfd, .pfx, .pg .php, .pic, .pl .plb, .pls, .plt .pma, .pmd, .png, .pns, .por, .bote, .potm, .potx, .pp4, .pp5, .pdma, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .de pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .s43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb .conmutador de consola remota .rda .rdy, .reb, .rec, .resx, .rif, .rm, .el fpr, el .rsspptm, .rtf, .rtp .rw2, .rwl, .rz, .s12, .s7z, .saf .saj, .decir, .sba .sbc, .sbd, .sbf, .la ef .sch, .sct .sdf, .sdy, .costura, .ses, .conjunto .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf .ssg, .stc .enfermedad de transmisión sexual .its .stm .str .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11 .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .de impuestos, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .texto, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1 .wk3 .wk4, .wks .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv .zdb, .ziparc, .zipx, .zix, .zka

Descargar herramienta de eliminación depara eliminar Updater

Después de que el cifrado de los archivos se anexa el archivo cifrado de extensión y aparecer como en la imagen de abajo muestra:

Este modo de cifrado se denomina ECB (Electronic Codebook) de modo. Se persigue el objetivo de reemplazar los bloques de datos de la legítima de los ficheros con datos desde el sistema de cifrado y una única clave de descifrado se genera para cada equipo infectado:

Fuente: Wikipedia

La clave puede ser enviado a los ciber-criminales y, a continuación, una nota de rescate se interrumpe para hacer que la víctima consciente de una red de extorsión que está teniendo lugar. La nota tiene el siguiente contenido:

YOUR FILES HAS BEEN ENCRYPTED Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. Now you have the last chance to decrypt your files. 1. Buy Bitcoin (https://en.bitcoin.it/wiki/Buying_bitcoins) 2. Send amount of 0.02 BTC to address: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE 3. Transaction will take about 15-30 minutes to confirm. 4. When transaction is confirmed, send email to us at ransomwareinc@yopmail.com 5. Write subject of your mail with : ‘Restore my files ***’ 6. Write content of your mail with : ‘Bitcoin payment : (YOUR BITCOIN TRANSACTION ID) Computer Identifier : {UNIQUE ID} 7. We will contact you back with your private key.

Guía de extracción manual Updater

Paso 1. Desinstalar Updater y programas relacionados

Windows XP

1. Abra el menú Inicio y haga clic en Panel de Control
2. Seleccione Agregar o quitar programas
3. Seleccione la aplicación no deseada
4. Haga clic en quitar

Windows 7 y Vista

1. Haga clic en Inicio y seleccione Panel de Control
2. Ir a desinstalar un programa
3. Haga clic derecho sobre el software sospechoso
4. Seleccione Desinstalar

Windows 8

1. Mover el cursor a la esquina inferior izquierda
2. Haga clic derecho y abrir Panel de Control
3. Seleccione Desinstalar un programa
4. Eliminar aplicaciones no deseadas

Paso 2. Quitar Updater de su navegador

Quitar Updater de Internet Explorer

1. Abra IE y haga clic en el icono del engranaje
   
2. Seleccione Administrar complementos
   
3. Quitar las extensiones no deseadas
4. Cambiar tu página de Inicio: icono de engranaje → opciones de Internet (ficha General)
   
5. Reiniciar el navegador: icono de engranaje → opciones de Internet (ficha Avanzadas)
6. Haga clic en restablecer, marque la casilla y hacer clic en Reset
   

Borrar Updater de Mozilla Firefox

1. Abrir Mozilla y haga clic en el menú
   
2. Elija complementos e ir a extensiones
3. Seleccione Add-on no deseado y haga clic en quitar
   
4. Reiniciar Mozilla: Información de solución de problemas de → Alt + H
   
5. Haga clic en Reset Firefox, confirmarlo y haga clic en finalizar
   

Desinstalar Updater de Google Chrome

1. Abra Google Chrome y haga clic en el menú
   
2. Seleccione Herramientas → extensiones
3. Elegir el complemento y haz clic en el icono de la papelera
   
4. Cambiar su motor de búsqueda: menú → configuración
5. Haga clic en administrar motores de búsqueda en la búsqueda de
   
6. Eliminar proveedor de búsqueda indeseables
   
7. Reiniciar el navegador: navegador ajustes → Reset
   
8. Haga clic en restablecer para confirmar su acción