Le Faux Windows Updater ransomware infection peut se propager par l’intermédiaire de différentes techniques. Le virus peut utiliser des programmes d’installation tiers frauduleuse que les pages web afficher à l’utilisateur un message qui vous demande de mettre à jour l’ordinateur. Par conséquent, les utilisateurs peuvent télécharger le fichier, nommé 1xxx106Updater1xxx.exe ce qui n’est pas une réelle Updater, mais plutôt d’un chargeur ou d’un compte-gouttes des fichiers malveillants de ce ransomware virus. Généralement, la distribution de ces sites sont tous sur le web, mais ils peuvent être affichées comme des pop-ups sur un ordinateur, dans le cas où il est ad-supported application potentiellement indésirable, en d’autres termes adware ou un pirate de navigateur d’application installée.
L’activité de la Faux Windows Updater virus est composé de plusieurs activités différentes, dont la première est de supprimer les fichiers malveillants sur l’ordinateur infecté. La primaire les fichiers associés à de Faux Windows Updater ransomware sont les suivantes:
- WindowsUpdater.exe
- Translation-Report.docx.exe
Pour déposer les fichiers, le virus peut aussi établir une connexion avec le suivant hôtes:
- hxxps://ganedata.co.uk/ransomware/ransomware.php
- hxxps://ganedata.co.uk/Transaction-Report.docx.exe
Après déjà l’établissement de la connexion de l’hôte, le virus ransomware peut commencer à supprimer le volume d’ombre de copies de l’ordinateur infecté. Ce qui est réalisable dans l’arrière-plan en saisissant les commandes suivantes via un script:
→ processus d’appel de créer « cmd.exe /c
vssadmin.exe supprimer les ombres /toutes les /quiet
bcdedit.exe /set {default} recoveryenabled pas
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
En plus de la falsification des Windows ombre des copies, le Faux Windows Updater ransomware peut également fortement interférer avec le Windows l’Éditeur du Registre, plus précisément avec les sous-clés de modifier certains paramètres tels que les fichiers d’exécution sur le démarrage du système ou changer le papier peint:
→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
En plus de cela, d’autres activités peuvent être à l’affichage d’une pop-up qui Est nommé de SÉCURITÉ des FICHIERS PROTÉGÉS après le chiffrement des fichiers.
Le processus de cryptage de fichiers encodés par de Faux Windows Updater Ransomware est réalisée par le plus fort AES (Advanced Encryption Algorithm) avec une 256-bits. Le chiffrement est appliqué sur les fichiers cryptés dans des blocs avec une clé générée. Pour le processus de chiffrement de ce virus, les types de fichiers suivants sont ciblés par elle:
→ .#vc, .$ca, ._vc, .C 00, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .Approximatif de 13 tonnes, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, de .500, .7z, .aac, .aaf, .ab4, .ac2, .acc .l’accd, .ach, .l’aci .mca .acr .aep, .aepx, .aes, .aet, de .afm .l’ia, .aif, .amj, .comme, .as3, .asc, .asf, .asm .asp, .asx, .ati, .avi, .de retour, .bak, .chauve-souris, .baie .fc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp, .fpr, .bpw, .brd, .brw, .btif, .bz2, .c, .cal .chat, .cb, .cd, .cdf .cdr, .cdt, l’ .cdx, .cf8, .cf9, .cfdi, .pcp .cgm .cgn, .ch, .chg, .la fch .clas, .clk, .cmd, .cmx, .cnt, .cntk, .- coa .rpc .la cpt .cpw, .cpx, .crt, .cs, .csl .la rse .css, .csv, .cur, .des uc, des .d07, .dac, .dat, .db, .dbf, .mpc, .dcr, .ddd, .dds .defx, .der, .des, .la gcr, .dif, .dip, .djv, .djvu, .dng .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .ord .fsn, .dtau, .dtd .pif, .dwg, .dxf, .dxi, .ebc .ebd, .ebq, .ec8, .efs .efsl, .efx, .emd .eml, .emp .ens .ent, .ape, .epb, .eps, .eqb, .ert .esk, .ess, .esv, .etq, .l’ets .exp, .fa1, .sea2, .caf, .fcpa, .fcpr, .fcr .de la fae, .aptitude au travail .la fim .fla, .flac, .flv, .la jvm, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb .gem, .gfi, .gif, .cin, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10 .h11 .h12, .hbk, .hif, .hpp, .hsr, .html, .hts .plr, .i2b, .iban, .mici .ico, .idml, .iff, .iif, .img, .imp .indb, .indd, .indl, .indt, .ini, .de type int .intu, .inv, .inx, .l’examen préliminaire international, .ipg .l’itf, l’ .jar, .java, .jng, .jp2, .jpeg, de .jpg, .js, .jsd, .jsda, .jsp, .rb7, .kd3, .kdc, .clé .kmo, .kmy, .laïcs .lay6, .lcd, .la sdl .ldf, .ldr, .laissez, .lgb, .lhr, .couvercle, .lin, .lld, .rmt, .journal, .lua .lz, .m, .m10 .m11, .m12, .m14 .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda .mdb, .mdf, .la mef .mem .rencontré, .meta .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq .ms11, .msg, .mwi, .mws, .mx0, .myd, .mi, .myi, .myox, .n43, .sieste, .nd, .nef, .nl2 dans, des .nni, .npc, .nv, .nv2, .oab .obi .pmo, .l’odc, .odg, .odm, .odp, .ods, .odt, .oet, .l’ofc .ofx, .vieux, .omf, .op, .orf, .ost ».otg, .le bureau du procureur, .ots, .ott .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct .pcx, .pd6, .pdb, .pdd .pdf, .pem .par, des .pfb, .le gilet de sauvetage, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .la pma .la dgm, .png, .pns .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptx, .pr0, .pr1 .pr2, .pr3, .pr4, .pr5, .prel, .prf .prn, .prpr, .ps, .psd, .psp, .pst, .ptb .bdpt .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .spq, .qpg, .qph, .qpi, .qsd, .qvm, .qss, .tvq .qtx, .quic, .quo .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs .rda .rdy, .cér .rec, .resx, .rif, .rm, .le fpr, le .rsspptm, .rtf, .rtp, .rw2, .rwl, .zar .s12, .s7z, .saf .saj, .dire .sba .sbc, .smd .sbf, .dcg, .sch .sct .sdf .sdy, .couture, .ses, .ensemble, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .de l’impôt, .tax0, .tax1, .tax2, .tb2, .tbk, .le phosphate de tributyle, l’ .tdr .texte, .tfx, .tga, .tgz, .tif, .tiff, .atg, .tlg, .tom, .tpl, .crt, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .format vmdk .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1 .wk3, .wk4, .wks .wma, .wmf, .wmv, .wpd, .le gto, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv .zdb, .ziparc, .zipx, .zix, .zka
Après le cryptage des fichiers sont ajoutés au fichier crypté extension et apparaissent comme l’image ci-dessous s’affiche:
Ce mode de cryptage est nommé ECB (Electronic Codebook) mode. Il vise à remplacer les blocs de données à partir des fichiers légitimes avec les données de l’algorithme de chiffrement et une clé de déchiffrement est généré pour chaque ordinateur infecté:
Source: Wikipedia
La clé peut alors être envoyé à la cyber-criminels et ensuite une demande de rançon est tombé à faire de la victime au courant d’une extorsion de fonds. La note a le contenu suivant:
Guide de suppression manuelle Updater
Étape 1. Désinstaller Updater et programmes connexes
Windows XP
- Ouvrez le menu Démarrer et sélectionnez Panneau de configuration
- Cliquez sur Ajouter ou supprimer des programmes
- Sélectionnez l’application indésirable
- Cliquez sur supprimer
Windows 7 et Vista
- Cliquez sur Démarrer et sélectionnez Panneau de configuration
- Aller à désinstaller un programme
- Faites un clic droit sur le logiciel suspect
- Sélectionnez désinstaller
Windows 8
- Déplacer le curseur au bas à gauche
- Faites un clic droit et ouvrir le panneau de configuration
- Sélectionnez désinstaller un programme
- Supprimer les applications indésirables
Étape 2. Supprimer Updater de votre navigateur
Supprimer Updater de Internet Explorer
- Ouvrez IE et cliquez sur l’icône d’engrenage
- Sélectionnez gérer Add-ons
- Supprimer des extensions indésirables
- Changer votre page d’accueil : icône engrenage → Options Internet (onglet général)
- Réinitialiser votre navigateur : icône engrenage → Options Internet (onglet Avancé)
- Cliquez sur Réinitialiser, cochez la case et cliquez à nouveau sur Reset
Supprimer Updater de Mozilla Firefox
- Ouvrez Mozilla et cliquez sur le menu
- Choisissez les modules et aller aux Extensions
- Sélectionnez le module non désiré et cliquez sur supprimer
- Réinitialisation Mozilla : Informations de dépannage Alt + H →
- Cliquez sur Reset Firefox, confirmez-le et cliquez sur Terminer
Désinstaller Updater de Google Chrome
- Ouvrez Google Chrome et cliquez sur le menu
- Sélectionnez Outils → Extensions
- Choisissez le module complémentaire, puis cliquez sur icône de corbeille
- Changer votre moteur de recherche : Menu → Paramètres
- Cliquez sur gérer les moteurs de recherche au titre de la recherche
- Supprimer les indésirables de moteur de recherche
- Réinitialiser votre navigateur : paramètres → paramètres de navigateur Reset
- Cliquez sur Réinitialiser pour confirmer votre action