Cyber Security LAB

Le processus d’infection du GX40 ransomware est similaire à tout autre ransomware virus. Le virus peut d’abord être distribués avec l’aide de l’e-mail de spam des messages malveillants à des archives et des pièces jointes incorporés. Une fois ces pièces jointes sont intégrés, ils sont accompagnés par un fourbe messages d’inciter l’utilisateur à l’ouverture. Ils peuvent faire semblant d’être:

• Une facture pour un achat, l’utilisateur est poussé à l’avoir fait.
• Un document à partir d’une banque, affirmant qu’il y est une activité suspecte.
• Faux PayPal, FedEx ou autres documents.

Une fois le fichier malveillant à l’intérieur de l’archive est ouvert, l’infection est immédiate et le virus utilise un chargeur pour déposer la charge utile.

D’autres méthodes d’infection par GX40 ransomware est de savoir si le virus prend le parti de fausses installateurs, faux Windows mises à jour et tout autre fichier qui peut sembler légitime. Il peut même être rencontrées sur des sites de torrent comme un faux patch de jeu ou jeu crack qui est généralement utilisé pour licence un marchand de versions de programmes ou de jeux.

Télécharger outil de suppressionpour supprimer GX40

Une fois le chargeur de ce virus a déjà déposé des fichiers malveillants sur l’ordinateur qui en est victime, ils sont probablement situés dans les dossiers suivants:

• %AppData%
• %LocalLow%
• %D’itinérance%
• %Locale%
• %Windows%

Deux des exécutables malveillants appartenant à GX40 infection ransomware sont reconnus pour être les suivantes:

Après avoir été activé, les fichiers malveillants les virus peuvent contenir un code malveillant qui pourrait modifier le volume d’ombre de copies de l’ordinateur infecté, de sorte qu’ils sont supprimés sans que l’utilisateur ne s’en aperçoive. Ceci est possible en exécutant les commandes suivantes, principalement le vssadmin ligne:

→ processus d’appel de créer « cmd.exe /c
vssadmin.exe supprimer les ombres /toutes les /quiet
bcdedit.exe /set {default} recoveryenabled pas
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

En plus de cette activité, le GX40 ransomware infection peut également altérer le Windows éditeur de registre de le PC de la victime, rendre le fichier exécutable malveillant qui crypte les fichiers de fonctionner lorsque le Windows démarrage du système:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Le processus de cryptage de fichiers par ce virus est faite avec l’aide de l’algorithme de cryptage Rijndael également connu comme l’AES. La de chiffre de chiffre les fichiers en blocs qui sont 129 bits dans la taille et la force de son système de chiffrement peut être de 128, 192 ou 256 bits(la plus forte) chiffrement. L’algorithme de chiffrement est également utilisé par le gouvernement des états-UNIS et il génère une clé symétrique après le cryptage des fichiers. Cette clé est la même pour tous les fichiers verrouillés et il peut être envoyé à la cyber-criminels, de contrôle et de commande des serveurs.

Télécharger outil de suppressionpour supprimer GX40

Parmi les fichiers qui le GX40 virus cibles pour le chiffrement sont les suivants types de fichiers importants:

• Les documents de Microsoft Office.
• OpenOffice fichiers.
• Les documents PDF.
• Les fichiers de texte.
• Les fichiers d’Image.
• Des fichiers Audio.
• Vidéos.
• Les fichiers archivés et les différents types d’archives.

Après le processus de cryptage est terminée, les fichiers ne sont plus en mesure d’être ouvert et sont ajoutés les .chiffré l’extension de fichier. Ils peuvent apparaître comme indiqué sur l’image ci-dessous:

Après le cryptage, le virus permet de s’assurer que l’utilisateur sait de sa présence par la chute d’un écran d’une note(voir les images au début ci-dessus) pour demander à payer 80$ de rançon. Il affiche les messages suivants:

Main Screen: YOUR FILE HAS ENCRYPTED GX40 All of your important files has been encrypted by Ransomware OPEN NOTICE GX40 Ransomware Contact me to make payment and make sure to attach yor identifier GX40@YAHOO.COM IDENTIFIER: {unique A-Z 0-9 digits ‘COPY’ ‘RESTORE’ GX40-NOTICE: NOTICE by : GX40 All Your Personal Files Are Encrypted All your data (photos, documents, and other files) have been encrypted with a private and unique key generated fot this computer. It means that yout will not be able to access your files anymore until they’re decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment. The payment has to be done in Bitcoint to a unique address that we generated for you. Bitcoins are a virtual currency to make online payments. IF you don’t know to get Bitcoins, you can google “HOW TO BUY BITCINS” and follow the instructions. YOU ONLY HAVE 2 DAYS TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to $80. Also, if you dont pay in 7 days, your unique key wil be destroyed and you wont be able to recover your files anymore. To recover your files and unlock your computer, you mush send 0.07214 BTC or 80 USD, to the next Bitcoin address : 12EN79yZyZpEvfnQPHUqyhEtrWU4W3UrDn WARNING! DO NOT TRY GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS.

Guide de suppression manuelle GX40

Étape 1. Désinstaller GX40 et programmes connexes

Windows XP

1. Ouvrez le menu Démarrer et sélectionnez Panneau de configuration
2. Cliquez sur Ajouter ou supprimer des programmes
3. Sélectionnez l’application indésirable
4. Cliquez sur supprimer

Windows 7 et Vista

1. Cliquez sur Démarrer et sélectionnez Panneau de configuration
2. Aller à désinstaller un programme
3. Faites un clic droit sur le logiciel suspect
4. Sélectionnez désinstaller

Windows 8

1. Déplacer le curseur au bas à gauche
2. Faites un clic droit et ouvrir le panneau de configuration
3. Sélectionnez désinstaller un programme
4. Supprimer les applications indésirables

Étape 2. Supprimer GX40 de votre navigateur

Supprimer GX40 de Internet Explorer

1. Ouvrez IE et cliquez sur l’icône d’engrenage
   
2. Sélectionnez gérer Add-ons
   
3. Supprimer des extensions indésirables
4. Changer votre page d’accueil : icône engrenage → Options Internet (onglet général)
   
5. Réinitialiser votre navigateur : icône engrenage → Options Internet (onglet Avancé)
6. Cliquez sur Réinitialiser, cochez la case et cliquez à nouveau sur Reset
   

Supprimer GX40 de Mozilla Firefox

1. Ouvrez Mozilla et cliquez sur le menu
   
2. Choisissez les modules et aller aux Extensions
3. Sélectionnez le module non désiré et cliquez sur supprimer
   
4. Réinitialisation Mozilla : Informations de dépannage Alt + H →
   
5. Cliquez sur Reset Firefox, confirmez-le et cliquez sur Terminer
   

Désinstaller GX40 de Google Chrome

1. Ouvrez Google Chrome et cliquez sur le menu
   
2. Sélectionnez Outils → Extensions
3. Choisissez le module complémentaire, puis cliquez sur icône de corbeille
   
4. Changer votre moteur de recherche : Menu → Paramètres
5. Cliquez sur gérer les moteurs de recherche au titre de la recherche
   
6. Supprimer les indésirables de moteur de recherche
   
7. Réinitialiser votre navigateur : paramètres → paramètres de navigateur Reset
   
8. Cliquez sur Réinitialiser pour confirmer votre action