Cyber Security LAB

A Hamis Windows Updater ransomware fertőzés lehet révén elterjedt különböző technikákat. A vírus használhatják harmadik féltől származó szerelők keresztül hamis weboldalakat, hogy a kijelzőn a felhasználó egy üzenet, amely arra kéri, hogy frissítse a számítógép. Ezért előfordulhat, hogy a felhasználók letölteni a fájlt, a neve 1xxx106Updater1xxx.exe ami nem egy tényleges Updater, de inkább egy loader, vagy cseppentő a rosszindulatú fájlokat ezt a ransomware vírus. Általában az ilyen terjesztés weboldalak a web, de lehet, hogy jelenik meg a pop-up-ra egy számítógép, ha van egy ad-támogatott alkalmazás, amely potenciálisan nemkívánatos, más szóval adware vagy egy böngésző-gépeltérítő alkalmazás telepítve.

A tevékenység a Hamis Windows Updater vírus, amely több különböző tevékenységek, amelyek közül az első az, hogy csepp a rosszindulatú fájlokat a fertőzött gép. Az elsődleges társított fájlok Hamis Windows Updater ransomware a következők:

Letöltés eltávolítása eszköztávolítsa el a Updater

• WindowsUpdater.exe
• Translation-Report.docx.exe

Csepp a fájlokat, a vírus is a kapcsolatot a következő állomás:

• hxxps://ganedata.co.uk/ransomware/ransomware.php
• hxxps://ganedata.co.uk/Transaction-Report.docx.exe

Miután már létrehozó kapcsolat a házigazdák, a ransomware vírus kezdődik, hogy törli az árnyék kötet másolatát a fertőzött számítógép. Ez elérhető a háttérben megadásával a következő parancsokat szkript segítségével:

→ folyamat hívja létre “cmd.exe /c
vssadmin.exe törlése árnyak /all /csendes
bcdedit.exe /set {default} recoveryenabled nem
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Amellett, hogy a beavatkozás Windows árnyékmásolatok, a Hamis Windows Updater ransomware is erősen zavarja a Windows Rendszerleíróadatbázis-Szerkesztő, pontosabban al-gombokat, hogy módosítsa bizonyos beállítások-például futni fájlokat a rendszer indulásakor, vagy a háttérkép megváltoztatása:

→ HKEY_CURRENT_USERControl PanelDesktop
Hkey_users kulcsot gyakran.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Ezen kívül más tevékenység lehet, hogy megjelenik egy pop-up nevű FÁJL BIZTONSÁGI VÉDETT után titkosítja a fájlokat.

A titkosítási folyamat a fájlok által kódolt Hamis Windows Updater Ransomware végzett keresztül a legerősebb AES (Advanced Encryption Algoritmus) 256-bites erejét. A kódot alkalmazzák rá a titkosított fájlok tömb egy generált kulcsot. A titkosítási folyamat, ez a vírus a következő típusú fájlok által megcélzott:

→ .#vc .$ac ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ác2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .ilyen, .afm, .ai, .aba .amj, .mint, .as3, .asc, .asf, .asm, .asp .asx, .ati, .avi, .vissza .bak, .denevér .- öböl .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp .bpf, .bpw, .brd, .brw, .btif, .bz2, .c .cal .macska .kb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .közös halászati politika .cgm, .cgn, .lsz .chg, .cht, .clas, .clk, .be a cmd parancsot, .cmx, .cnt, .cntk, .coa, .cpp, .cpt .cpw, .cpx, .crt .cs, .a helyszínelők .csr .css .csv, .korcs, .cus, .d07, .dac, .dat .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doki .docb, .docm, .docx, .pont .dotm, .dotx, .drw, .ds4, .dsb-t .dsf .dtau, .dtd-vel .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa .epb, .eps-el .eqb, .ert, .esk, .ess .esv, .etq, .ets .exp .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .a gdb .gem, .gfi, .gif .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12 .hbk, .hif, .hpp, .hsr, .html-ben .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .ha, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar .java .jng, .jp2, .a jpeg .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .kulcs .kmo, .kmy, .feküdt .lay6, .lcd, .ldc, .ldf, .frissítés milyen típusú kiadásához tartoznak .engedd, .lgb, .a vonat, .fedél .lin .lld, .lmr, .napló .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac .max, .mbsb, .md, .mda .mdb, .mdf, .mef, .mem .találkoztunk .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .egyezmény .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .pé, .mov, .mp2, .mp3, .mp4, .mpa .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .a talpamat .nd .nef, .nl2, .nni, .npc, .nv .nv2, .oab, .az obi .odb, .odc, .odg, .odm, .odp, .ods-t .odt, .kiszáll, .ofc, .ofx, .régi, .ömf, .op .orf, .ost, .otg, .otp, .ots .ott, .p08, .p12, .p7b, .p7c, .a paq, .pas .pat, .pcd, .pcif, .pct, .pcx, .pd6, .ekt, .pdd, .pdf, .pem, .per .pfb, .pfd, .pfx, .pg, .php, .kép, .pl, .plb, .pls, .plt, .pma .pmd, .png .pns, .por, .fű .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps .psd, .psp, .pst .ptb, .ptdb, .ptk, .ptx, .pvc .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .a qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .nyers .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rsspptm, .rtf, .az rtp-nek, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .mondjuk .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .varrás, .ses, .állítsa be, .shw, .szilícium-karbid .skg, .sldm, .sldx, .slk, .slp, .sql, .volt sql-injekció, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .az svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t 14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar .adó .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .szöveg .tfx, .tga, .tgz, .tif, .tiff .tkr, .- , .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt .u08, .u10, .u11, .u12, .az uop, .uot, .v30, .vb .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .a wav .wb2, .wi, .wk1, .wk3, .wk4, .wks, .a wma, az .wmf, .wmv, .wpd, .wpg, .wps, .x3f, …. , .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka

Letöltés eltávolítása eszköztávolítsa el a Updater

Miután titkosítási a csatolt fájlok a titkosított fájlok úgy, mint az alábbi kép jelenik meg:

Ez a mód a titkosítás nevű EKB (Elektronikus Rejtjelkulcsot) mód. Az a célja, hogy helyettesítse blokk adatai a jogos adatot, a kódot, valamint egyedi kód generált minden fertőzött számítógépen:

Forrás: Wikipédia

A kulcs lehet küldeni a cyber-bűnözők, aztán egy levél leesett, hogy az áldozat tisztában van egy zsarolási zajlik. A megjegyzés a következő tartalommal:

YOUR FILES HAS BEEN ENCRYPTED Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. Now you have the last chance to decrypt your files. 1. Buy Bitcoin (https://en.bitcoin.it/wiki/Buying_bitcoins) 2. Send amount of 0.02 BTC to address: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE 3. Transaction will take about 15-30 minutes to confirm. 4. When transaction is confirmed, send email to us at ransomwareinc@yopmail.com 5. Write subject of your mail with : ‘Restore my files ***’ 6. Write content of your mail with : ‘Bitcoin payment : (YOUR BITCOIN TRANSACTION ID) Computer Identifier : {UNIQUE ID} 7. We will contact you back with your private key.

Kézikönyv Updater eltávolítása útmutató

1. lépés. Uninstall Updater és a kapcsolódó programok

A Windows XP

1. Nyissa meg a Start menüt, és kattintson a Control Panel
2. Választ Összead vagy eltávolít programokat
3. Jelölje ki a nem kívánt alkalmazást
4. Kattintson az Eltávolítás gombra

Windows 7 és Vista

1. Kattintson a Start gombra, és válassza a Vezérlőpult
2. Megy Uninstall egy műsor
3. Kattintson a jobb gombbal a gyanús szoftver
4. Kiválaszt Uninstall

Windows 8

1. Vigye a kurzort a bal alsó sarokban
2. Kattintson a jobb gombbal, és nyissa meg a Vezérlőpult
3. Válassza ki a program eltávolítása
4. Törölje a nem kívánt alkalmazás

2. lépés. Updater eltávolítása a böngészőben

Updater eltávolítása Internet Explorer

1. Nyit IE, és kattintson a fogaskerék ikonra
   
2. Válassza a Bővítmények kezelése
   
3. Távolítsa el a nemkívánatos bővítmények
4. A Kezdőlap módosítása: fogaskerék ikonra → Internet-beállítások (általános lap)
   
5. Visszaállítása a böngésző: fogaskerék ikonra → Internet-beállítások (Speciális lap)
6. Kattintson az Alaphelyzet gombra, jelölje be a négyzetet, és az Alaphelyzetbe állítás gombra
   

Updater törlése a Mozilla Firefox

1. Nyissa meg a Mozilla, és válassza a menü parancsát
   
2. Válasszon Add-ons, és menni kiterjesztések
3. Nem kívánt bővítmény kijelölése és kattintson az Eltávolítás gombra
   
4. Reset Mozilla: Alt + H → problémaelhárítási információk
   
5. Kattintson a Reset Firefox, erősítse meg, és kattintson a Befejezés gombra
   

Updater eltávolítása a Google Chrome

1. Nyissa meg a Google Chrome, és válassza a menü parancsát
   
2. Válasszuk az eszközök → kiterjesztések
3. Válassza ki a bővítményt, és kattintson a papírkosár ikonra
   
4. A kutatás motor módosítása: menü → Beállítások
5. Kattintson a keresőmotorok kezelése szerinti keresés
   
6. Törölje a nem kívánt keresésszolgáltató
   
7. Visszaállítása a böngésző: beállítások → visszaállítás böngésző beállításait
   
8. Kattintson a visszaállítás a megerősítéseként