Cyber Security LAB

Tartuttaa niin monille käyttäjille kuin mahdollista, virus voi levitä kautta ilkeä sähköpostin liitetiedostoja sekä tiedoston downloaders ja vahingollisia web linkkejä upotettu sähköposteja. Kuten roskapostin sähköpostiviestit ovat vastuussa yli 80% ransomware infektioita ja cyber-rikollisia käyttäjä uudempia ja uudempia veronkierron tekniikoita ohittaa suojaa ne sähköpostit. Yksi tekniikoista on massiivinen roskapostia vastaan, jotka leviävät liitetiedostoja tai linkkejä Dropbox tai Google drive, tai muita pilvi tilit, jotka sisältävät vahingollisia tiedostoja. Sähköpostit itse oltava vakuuttavia lausuntoja avata liitteet/klikkaa linkkejä:

Muita menetelmiä infektion lisäksi kautta, kuten sähköpostit lähetetään sisällä tartunnan kautta eri fake päivitykset, peli laastaria, ohjelmisto aktivaattoreita, avain generaattorit tai muita ohjelmistoja, jotka voi ladata epäilyttäviä torrent-sivustoja tai ohjelmistoja ladata sivustot.

Kun haitallisen tiedoston, joka aiheuttaa infektio on avattu, BlackRose virus voi pudota se on hyötykuorma joissakin seuraavista Windows kansiot:

• %AppData%
• %Roaming%
• %Paikallisten%
• %LocalLow%
• %Järjestelmäasema%
• %Windows%
• %System32%

Tiedostot voidaan nimetä seuraavasti:

→ READ_IT_FOR_GET_YOUR_FILE.txt (Ransom note)
Miten install.pdf.exe
Miten install.exe
{satunnaisesti nimetty tiedosto}.exe
Tiedosto Decryptor.exe

Kun tiedostot kuuluvat BlackRose ransomware ovat jo pudonnut tartunnan saaneen tietokoneen, virus voi muuttaa Juosta ja RunOnce rekisteriavaimet vaarantunut koneen. He ovat sub-avaimet Windows Registry editor vastuussa, mitkä kohteet ajaa Windows käynnistyksen. Virus voi muuttaa niitä niin, että ilkeä tiedostoja BlackRose ajaa järjestelmän käynnistyksen.

Lisäksi muuttamalla registry editor, BlackRose virus voi myös poistaa tilannevedokset ja lopettaa Windows varmuuskopiointi palvelu. Tämä on saavutettavissa ajamalla skripti, joka suorittaa seuraavat komennot taustalla, ilman uhrin huomaamatta:

→ prosessi kutsua luo ”cmd.exe /c
vssadmin. exe.exe poistaa varjot /kaikki /hiljainen
bcdedit.exe /set {default} recoveryenabled ei
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

BlackRose ransomware käyttää AES-salausta algoritmi koodata tiedostoja tietokoneissa, jotka on kaapattu virus. Ransomware infektio käyttää salaus menettelyä, joka korvaa core rakenne tiedostoja. Tämä tekee tiedostojen enää avattava.

Joukossa kohdennettuja tiedostot voivat olla seuraavat:

→ ”PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .ATE .SQL .APK .APP .BAT .CGI .KOM .EXE -.GADGET .PURKKI .PIF .WSF .DEM .GAM .NES .ROM .SAV-CAD-Tiedostot .DWG .DXF-GIS-Tiedostot .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .KIRJAUDU .MSG .ODT .SIVUT .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KESKEISIÄ .AVAIMENPERÄ .PPS .PPT .PPTX ..INI .PRF-Koodattuja Tiedostoja .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG-tiedostoa .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF-levy .PAAHTOLEIPÄÄ .VCD SDF .TERVA .TAX2014 .TAX2015 .VCF .XML-Audio-Tiedostoja .SIJOITUSRAHASTON .IFF .M3U .M4A .PUOLIVÄLISSÄ .MP3 .MPA .WAV .WMA Video Tiedostoja .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R. BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .OHJAAMON .CPL .NYK .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com

Virus on hyvin varovainen, ettei salata tärkeät tiedostot käyttäjän TIETOKONEESSA, jotka voivat vahingoittaa Windows. Kun salaus on valmis, BlackRose lehdet tiedostot seuraavat valtion:

Sen jälkeen, kun salauksen prosessi, jonka BlackRose on valmis, ransomware tippaa se on lunnasvaatimuksen, niin että se on helposti huomannut. Se, vaatimukset on tehty uhri maksaa 1 BTC muuten tiedostot menetetään lopullisesti. Huomautus on nimetty READ_IT_FOR_GET_YOUR_FILE.txt ja on seuraava sisältö:

BlackRose manuaalinen poisto opas

Vaihe 1. Poista BlackRose ja liittyvät ohjelmat

Windows XP

1. Avaa Käynnistä-valikko ja valitse Ohjauspaneeli
2. Valitse Lisää tai poista sovellus
3. Valitse ei-toivottu ohjelma
4. Valitse Poista

Akkuna 7 ja näköala

1. Valitse Käynnistä ja valitse Ohjauspaneeli
2. Siirry Poista ohjelma
3. Napsauta hiiren kakkospainikkeella epäilyttävästä ohjelmasta
4. Valitse Poista

Windows 8

1. Siirrä kursori vasemmassa alakulmassa
2. Napsauta hiiren kakkospainikkeella ja Avaa Ohjauspaneeli
3. Valitse Poista ohjelman asennus
4. Poista ei-toivottu ohjelma

Vaihe 2. Poista BlackRose selaimissa

Poista BlackRose Internet Explorer

1. Avaa IE ja napsauta rataskuvaketta
   
2. Valitse Lisäosien hallinta
   
3. Poistaa ei-toivotut laajennuksia
4. Kotisivun vaihtaminen: rataskuvaketta → Internet-asetukset (Yleiset-välilehti)
   
5. Muuttaa selaimesi: rataskuvaketta → Internet-asetukset (Lisäasetukset-välilehti)
6. Valitse Palauta, valintaruutu ja valitse Palauta uudelleen
   

Poista BlackRose Mozilla Firefox

1. Avaa Mozilla ja valitsemalla valikosta
   
2. Valitse lisäosat ja Siirry Extensions
3. Valitse ei-toivottuja laajennus ja valitse Poista
   
4. Palauta Mozilla: Alt + H → vianmääritystietojen
   
5. Palauta Firefox, vahvista se ja valitse valmis
   

Poista BlackRose Google Chrome

1. Avaa Google Chrome ja valitse valikosta
   
2. Valitse Työkalut → laajennukset
3. Valitse lisäosa ja napsauta poistokuvaketta
   
4. Muuttaa hakukoneesi: valikko → asetukset
5. Valitse hallinnoi hakukoneita Valitse Etsi
   
6. Poistaa ei-toivottuja hakupalvelu
   
7. Muuttaa selaimesi: asetukset → palauta selaimen asetukset
   
8. Valitse Palauta vahvistamaan toimenpide