À infecter le plus grand nombre possible d’utilisateurs, le virus peut se propager via malveillants e-mail des pièces jointes ainsi que les téléchargeurs de fichiers et des liens web malveillants intégré au sein d’e-mails. Ces e-mails de spam sont responsables de plus de 80% des infections ransomware et les cyber-criminels de l’utilisateur de nouvelles techniques de contournement de contournement de la protection sur ces e-mails. L’une des techniques utilisées est massive des bots de spam de la propagation des pièces jointes ou des liens web vers Dropbox ou Google drive ou autre nuage comptes qui contiennent les fichiers malveillants. Les e-mails contiennent eux-mêmes de convaincre les états à ouvrir les pièces jointes/cliquez sur les liens web:
D’autres méthodes d’infection en outre, grâce à de tels e-mails envoyés comprennent l’infection par l’intermédiaire de différents types de faux mises à jour, des patchs de jeux, des logiciels, des activateurs, des générateurs de clés ou tout autre logiciel qui peut être téléchargé sur les suspects les sites de torrent ou de télécharger des logiciels sites.
Après le méchant fichier à l’origine de l’infection a été ouvert, le BlackRose virus peut tomber de la charge utile dans certains des domaines suivants Windows dossiers:
- %AppData%
- %D’itinérance%
- %Locale%
- %LocalLow%
- Dossier %SystemDrive%
- %Windows%
- %System32%
Les fichiers peuvent être nommées comme suit:
→ READ_IT_FOR_GET_YOUR_FILE.txt (demande de Rançon)
Comment install.pdf.exe
Comment install.exe
{fichier nommé de façon aléatoire}.exe
Fichier Decryptor.exe
Une fois les fichiers appartenant à BlackRose ransomware sont déjà tombé sur l’ordinateur infecté, le virus peut modifier le Run et RunOnce clés de registre sur la machine compromise. Ils sont des sous-clés de l’Windows l’éditeur du Registre responsable pour laquelle les articles exécuter sur Windows de démarrage. Le virus peut les modifier de sorte que les fichiers malveillants de BlackRose exécuter lors du démarrage du système.
En plus de modifier l’éditeur du registre, les BlackRose virus peut également supprimer l’ombre des copies et de les arrêter Windows service de sauvegarde. Ceci est réalisable par l’exécution d’un script qui exécute les commandes suivantes dans l’arrière-plan, sans que la victime en disant:
→ processus d’appel de créer « cmd.exe /c
vssadmin.exe supprimer les ombres /toutes les /quiet
bcdedit.exe /set {default} recoveryenabled pas
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
BlackRose ransomware utilise l’algorithme de chiffrement AES pour encoder les fichiers sur les ordinateurs qui ont été infectés par le virus. L’infection ransomware utilise une procédure de cryptage qui remplace la structure de base des fichiers. Cela rend le fichier qui n’est plus ouverte.
Parmi les fichiers ciblés peuvent être les suivantes:
→ « PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .L’IA .L’EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .APB .SQL .APK .APP .Chauve-souris .CGI .COM .EXE .GADGET .JAR .PIF .FSM .DEM .La GAM .La NES .ROM .SAV des Fichiers de CAO .DWG .DXF Fichiers SIG .GPX .KML .KMZ .ASP .ASPX .La CER .CFM .La RSE .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .JOURNAL .MSG .ODT .Des PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .CLÉ .Un TROUSSEAU de clés .PPS .PPT .PPTX ..INI .PRF Fichiers Encodés .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .TR / min .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .L’ISO .MDF .TOAST .VCD SDF .Le GOUDRON .TAX2014 .TAX2015 .VCF .XML des Fichiers Audio .FIA .IFF .M3U .M4A .À la MI .MP3 .MPA .WAV .WMA Fichiers Vidéo .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .Théorie de la relativité restreinte .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R. BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .La FTO .TTF .De la CABINE .Le CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG »Source:fileinfo.com
Le virus est très prudent de ne pas crypter les fichiers importants sur le PC de l’utilisateur qui peuvent endommager Windows. Après le processus de cryptage est terminé, BlackRose laisse des fichiers dans l’état suivant:
Après le processus de chiffrement par BlackRose a fini, l’infection ransomware gouttes de demande de rançon, de sorte qu’il soit facilement remarqué. En cela, on demande à la victime de payer 1 BTC sinon les fichiers seront perdus à jamais. La note est nommé READ_IT_FOR_GET_YOUR_FILE.txt et a le contenu suivant:
Guide de suppression manuelle BlackRose
Étape 1. Désinstaller BlackRose et programmes connexes
Windows XP
- Ouvrez le menu Démarrer et sélectionnez Panneau de configuration
- Cliquez sur Ajouter ou supprimer des programmes
- Sélectionnez l’application indésirable
- Cliquez sur supprimer
Windows 7 et Vista
- Cliquez sur Démarrer et sélectionnez Panneau de configuration
- Aller à désinstaller un programme
- Faites un clic droit sur le logiciel suspect
- Sélectionnez désinstaller
Windows 8
- Déplacer le curseur au bas à gauche
- Faites un clic droit et ouvrir le panneau de configuration
- Sélectionnez désinstaller un programme
- Supprimer les applications indésirables
Étape 2. Supprimer BlackRose de votre navigateur
Supprimer BlackRose de Internet Explorer
- Ouvrez IE et cliquez sur l’icône d’engrenage
- Sélectionnez gérer Add-ons
- Supprimer des extensions indésirables
- Changer votre page d’accueil : icône engrenage → Options Internet (onglet général)
- Réinitialiser votre navigateur : icône engrenage → Options Internet (onglet Avancé)
- Cliquez sur Réinitialiser, cochez la case et cliquez à nouveau sur Reset
Supprimer BlackRose de Mozilla Firefox
- Ouvrez Mozilla et cliquez sur le menu
- Choisissez les modules et aller aux Extensions
- Sélectionnez le module non désiré et cliquez sur supprimer
- Réinitialisation Mozilla : Informations de dépannage Alt + H →
- Cliquez sur Reset Firefox, confirmez-le et cliquez sur Terminer
Désinstaller BlackRose de Google Chrome
- Ouvrez Google Chrome et cliquez sur le menu
- Sélectionnez Outils → Extensions
- Choisissez le module complémentaire, puis cliquez sur icône de corbeille
- Changer votre moteur de recherche : Menu → Paramètres
- Cliquez sur gérer les moteurs de recherche au titre de la recherche
- Supprimer les indésirables de moteur de recherche
- Réinitialiser votre navigateur : paramètres → paramètres de navigateur Reset
- Cliquez sur Réinitialiser pour confirmer votre action