Cyber Security LAB

Similaire à la précédente .wcry variante , cette ransomware itération peut également utiliser les mêmes méthodes de propagation. Ils sont en relation avec l’utilisation de différents types d’outils utilisés spécifiquement pour distribuer des fichiers malveillants et les Url sans être détecté:

• Spam logiciels (les robots des spammeurs, robots, etc)
• Pré-configuré liste des adresses e-mail des victimes potentielles de courrier indésirable courrier peut être envoyé.
• Intermédiaire de logiciels malveillants à la conduite de l’infection.
• Un ensemble de serveurs et de distribution domaines du commandement et du contrôle, et de télécharger .WNCRY fichier du virus de la charge utile.

Même si le WanaCrypt0r 2.0 ransomware peut se propager via des sites de torrent, mises à jour de faux ou d’autres faux configurations et les exécutables téléchargés sur shady hots, le virus de la principale méthode de propagation peut-être par l’intermédiaire de manière convaincante créé des e-mails. De tels e-mails but d’obtenir les victimes à cliquer sur un malveillant e-mail, en pièce jointe, et donc devenir infectées avec le .WNCRY fichier de virus. Un e-mail de ceux qui peuvent contenir l’infection fichier de cette ransomware peut être vu ci-dessous:

Les pièces jointes peuvent généralement être .js, .exe ou tout autre type de fichiers exécutables, mais dans certaines situations, ils sont aussi liés avec des macros. Ces malveillants macros peut être activé une fois que l’utilisateur active le contenu d’un document. Voici comment ce processus d’infection est réalisée:

Télécharger outil de suppressionpour supprimer WanaCrypt0r

La première infections de WanaCrypt0r 2.0 ont été en Allemagne, en Russie, Taiwan, la Turquie, le Kazakhstan, l’Indonésie, le Vietnam, le Japon, l’Espagne, l’Ukraine et les Philippines. Mais le pays nombre peut s’élever très rapidement, bientôt, puisque ce modèle montre la répartition mondiale de la campagne.

Dès qu’une infection par ce ransomware est déjà inévitable, le virus peut immédiatement d’en situer la capacité de charge sur l’ordinateur de la victime. La charge peut être situé dans plusieurs dossiers différents, y compris:

• %AppData%
• %Locale%
• %LocalLow%
• %D’itinérance%
• %Windows%

La charge peut être composée de plusieurs types de fichiers. Certains de ces fichiers peuvent modifier la Windows l’Éditeur du Registre et de la cible les clés Run et RunOnce:

• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Dans ces touches, la coutume des chaînes de valeur avec les données peuvent être entrées de sorte qu’il est possible pour le ransomware à exécuter au démarrage du système et commencer à chiffrer les fichiers de démarrage.

En plus de l’activité de WanaCrypt0r .WNCRY l’infection peut être à supprimer le volume d’ombre de copie sur l’ordinateur infecté. Ceci est fait en exécutant la commande suivante administrative Windows commandes:

→ processus d’appel de créer « cmd.exe /c
vssadmin.exe supprimer les ombres /toutes les /quiet
bcdedit.exe /set {default} recoveryenabled pas
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

En plus de cette activité, WanaCrypt0r .WNCRY virus baisse également un programme nommé @WanaDecryptor@.exe qui a une réelle minuterie avec les avancées des instructions sur la façon de payer la rançon. Ce programme est appelé « WanaCrypt0r 2.0″ et c’est le message se présente comme suit:

Une fois que la minuterie sur ce programme s’exécute sur le coût de la rançon de paiement peut doubler, selon le scareware messages, et la version précédente, également à l’aide de ce logiciel.

Télécharger outil de suppressionpour supprimer WanaCrypt0r

Une autre action du programme est qu’il change aussi le fond d’écran sur l’ordinateur de la victime avec le message suivant:

Ooops, your important files are encrypted. If you see this text, but don’t see the « Wana Decrypt0r” window, then your antivirus removed the decrypt software or you deleted it from your computer. If you need your files you have to run the decrypt software. Please find an application file named “@WanaDecryptor@.exe” in any folder or restore from the antivirus quarantine. Run and follow the instructions!

Deux algorithmes de chiffrement peut être utilisé pour cette infection ransomware. L’un de ceux qui est connu comme l’AES (Advanced Encryption Standard) et peut être utilisé dans de 128 bits de force. Il est un des plus puissants algorithmes de chiffrement et ne peuvent pas être déchiffrés à moins que les criminels de faire une erreur dans le code de cryptage. Elle peut générer une clé symétrique, appelé clé FEK après le cryptage. Cette clé peut être la seule méthode pour déchiffrer les fichiers, car, avec elle, le processus peut être inversé.

En plus de cela, un autre algorithme de chiffrement connu que les Rivières-Shamir-Adleman ou RSA est également utilisé en combinaison avec l’AES dans le but de générer unique de clés publiques et privées pour chacun des fichiers. Cela rend le décryptage de chaque fichier distinct et très difficile et unique processus.

Pour plus d’informations sur ces algorithmes, vous pouvez consulter l’article ci-dessous:

Pour le cryptage, l’ .WNCRY virus cible les fichiers qui sont largement utilisés. Ces fichiers sont généralement les suivantes:

→ « PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .L’IA .L’EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .APB .SQL .APK .APP .Chauve-souris .CGI .COM .EXE .GADGET .JAR .PIF .FSM .DEM .La GAM .La NES .ROM .SAV des Fichiers de CAO .DWG .DXF Fichiers SIG .GPX .KML .KMZ .ASP .ASPX .La CER .CFM .La RSE .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .JOURNAL .MSG .ODT .Des PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .CLÉ .Un TROUSSEAU de clés .PPS .PPT .PPTX ..INI .PRF Fichiers Encodés .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .TR / min .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .L’ISO .MDF .TOAST .VCD SDF .Le GOUDRON .TAX2014 .TAX2015 .VCF .XML des Fichiers Audio .FIA .IFF .M3U .M4A .À la MI .MP3 .MPA .WAV .WMA Fichiers Vidéo .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .Théorie de la relativité restreinte .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R. BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .La FTO .TTF .De la CABINE .Le CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG »Source:fileinfo.com

Après le cryptage est fait, le .WNCRY virus peut envoyer la clé de décryptage pour les cyber-criminels afin qu’ils puissent créer un decrypter pour la victime qui sera renvoyé à lui, une fois la rançon est payée. Payer la rançon, en revanche, est fortement déconseillé.

Télécharger outil de suppressionpour supprimer WanaCrypt0r

Les fichiers ont une ajoutée .WNCRY extension de fichier, qui est unique pour l’infection. Les fichiers peuvent apparaître comme la suivante et ne peut pas être ouvert avec n’importe quel logiciel:

Guide de suppression manuelle WanaCrypt0r

Étape 1. Désinstaller WanaCrypt0r et programmes connexes

Windows XP

1. Ouvrez le menu Démarrer et sélectionnez Panneau de configuration
2. Cliquez sur Ajouter ou supprimer des programmes
3. Sélectionnez l’application indésirable
4. Cliquez sur supprimer

Windows 7 et Vista

1. Cliquez sur Démarrer et sélectionnez Panneau de configuration
2. Aller à désinstaller un programme
3. Faites un clic droit sur le logiciel suspect
4. Sélectionnez désinstaller

Windows 8

1. Déplacer le curseur au bas à gauche
2. Faites un clic droit et ouvrir le panneau de configuration
3. Sélectionnez désinstaller un programme
4. Supprimer les applications indésirables

Étape 2. Supprimer WanaCrypt0r de votre navigateur

Supprimer WanaCrypt0r de Internet Explorer

1. Ouvrez IE et cliquez sur l’icône d’engrenage
   
2. Sélectionnez gérer Add-ons
   
3. Supprimer des extensions indésirables
4. Changer votre page d’accueil : icône engrenage → Options Internet (onglet général)
   
5. Réinitialiser votre navigateur : icône engrenage → Options Internet (onglet Avancé)
6. Cliquez sur Réinitialiser, cochez la case et cliquez à nouveau sur Reset
   

Supprimer WanaCrypt0r de Mozilla Firefox

1. Ouvrez Mozilla et cliquez sur le menu
   
2. Choisissez les modules et aller aux Extensions
3. Sélectionnez le module non désiré et cliquez sur supprimer
   
4. Réinitialisation Mozilla : Informations de dépannage Alt + H →
   
5. Cliquez sur Reset Firefox, confirmez-le et cliquez sur Terminer
   

Désinstaller WanaCrypt0r de Google Chrome

1. Ouvrez Google Chrome et cliquez sur le menu
   
2. Sélectionnez Outils → Extensions
3. Choisissez le module complémentaire, puis cliquez sur icône de corbeille
   
4. Changer votre moteur de recherche : Menu → Paramètres
5. Cliquez sur gérer les moteurs de recherche au titre de la recherche
   
6. Supprimer les indésirables de moteur de recherche
   
7. Réinitialiser votre navigateur : paramètres → paramètres de navigateur Reset
   
8. Cliquez sur Réinitialiser pour confirmer votre action