A Hamis Windows Updater ransomware fertőzés lehet révén elterjedt különböző technikákat. A vírus használhatják harmadik féltől származó szerelők keresztül hamis weboldalakat, hogy a kijelzőn a felhasználó egy üzenet, amely arra kéri, hogy frissítse a számítógép. Ezért előfordulhat, hogy a felhasználók letölteni a fájlt, a neve 1xxx106Updater1xxx.exe ami nem egy tényleges Updater, de inkább egy loader, vagy cseppentő a rosszindulatú fájlokat ezt a ransomware vírus. Általában az ilyen terjesztés weboldalak a web, de lehet, hogy jelenik meg a pop-up-ra egy számítógép, ha van egy ad-támogatott alkalmazás, amely potenciálisan nemkívánatos, más szóval adware vagy egy böngésző-gépeltérítő alkalmazás telepítve.
A tevékenység a Hamis Windows Updater vírus, amely több különböző tevékenységek, amelyek közül az első az, hogy csepp a rosszindulatú fájlokat a fertőzött gép. Az elsődleges társított fájlok Hamis Windows Updater ransomware a következők:
- WindowsUpdater.exe
- Translation-Report.docx.exe
Csepp a fájlokat, a vírus is a kapcsolatot a következő állomás:
- hxxps://ganedata.co.uk/ransomware/ransomware.php
- hxxps://ganedata.co.uk/Transaction-Report.docx.exe
Miután már létrehozó kapcsolat a házigazdák, a ransomware vírus kezdődik, hogy törli az árnyék kötet másolatát a fertőzött számítógép. Ez elérhető a háttérben megadásával a következő parancsokat szkript segítségével:
→ folyamat hívja létre “cmd.exe /c
vssadmin.exe törlése árnyak /all /csendes
bcdedit.exe /set {default} recoveryenabled nem
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Amellett, hogy a beavatkozás Windows árnyékmásolatok, a Hamis Windows Updater ransomware is erősen zavarja a Windows Rendszerleíróadatbázis-Szerkesztő, pontosabban al-gombokat, hogy módosítsa bizonyos beállítások-például futni fájlokat a rendszer indulásakor, vagy a háttérkép megváltoztatása:
→ HKEY_CURRENT_USERControl PanelDesktop
Hkey_users kulcsot gyakran.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
Ezen kívül más tevékenység lehet, hogy megjelenik egy pop-up nevű FÁJL BIZTONSÁGI VÉDETT után titkosítja a fájlokat.
A titkosítási folyamat a fájlok által kódolt Hamis Windows Updater Ransomware végzett keresztül a legerősebb AES (Advanced Encryption Algoritmus) 256-bites erejét. A kódot alkalmazzák rá a titkosított fájlok tömb egy generált kulcsot. A titkosítási folyamat, ez a vírus a következő típusú fájlok által megcélzott:
→ .#vc .$ac ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ác2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .ilyen, .afm, .ai, .aba .amj, .mint, .as3, .asc, .asf, .asm, .asp .asx, .ati, .avi, .vissza .bak, .denevér .- öböl .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp .bpf, .bpw, .brd, .brw, .btif, .bz2, .c .cal .macska .kb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .közös halászati politika .cgm, .cgn, .lsz .chg, .cht, .clas, .clk, .be a cmd parancsot, .cmx, .cnt, .cntk, .coa, .cpp, .cpt .cpw, .cpx, .crt .cs, .a helyszínelők .csr .css .csv, .korcs, .cus, .d07, .dac, .dat .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doki .docb, .docm, .docx, .pont .dotm, .dotx, .drw, .ds4, .dsb-t .dsf .dtau, .dtd-vel .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa .epb, .eps-el .eqb, .ert, .esk, .ess .esv, .etq, .ets .exp .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .a gdb .gem, .gfi, .gif .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12 .hbk, .hif, .hpp, .hsr, .html-ben .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .ha, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar .java .jng, .jp2, .a jpeg .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .kulcs .kmo, .kmy, .feküdt .lay6, .lcd, .ldc, .ldf, .frissítés milyen típusú kiadásához tartoznak .engedd, .lgb, .a vonat, .fedél .lin .lld, .lmr, .napló .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac .max, .mbsb, .md, .mda .mdb, .mdf, .mef, .mem .találkoztunk .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .egyezmény .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .pé, .mov, .mp2, .mp3, .mp4, .mpa .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .a talpamat .nd .nef, .nl2, .nni, .npc, .nv .nv2, .oab, .az obi .odb, .odc, .odg, .odm, .odp, .ods-t .odt, .kiszáll, .ofc, .ofx, .régi, .ömf, .op .orf, .ost, .otg, .otp, .ots .ott, .p08, .p12, .p7b, .p7c, .a paq, .pas .pat, .pcd, .pcif, .pct, .pcx, .pd6, .ekt, .pdd, .pdf, .pem, .per .pfb, .pfd, .pfx, .pg, .php, .kép, .pl, .plb, .pls, .plt, .pma .pmd, .png .pns, .por, .fű .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps .psd, .psp, .pst .ptb, .ptdb, .ptk, .ptx, .pvc .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .a qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .nyers .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rsspptm, .rtf, .az rtp-nek, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .mondjuk .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .varrás, .ses, .állítsa be, .shw, .szilícium-karbid .skg, .sldm, .sldx, .slk, .slp, .sql, .volt sql-injekció, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .az svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t 14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar .adó .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .szöveg .tfx, .tga, .tgz, .tif, .tiff .tkr, .- , .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt .u08, .u10, .u11, .u12, .az uop, .uot, .v30, .vb .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .a wav .wb2, .wi, .wk1, .wk3, .wk4, .wks, .a wma, az .wmf, .wmv, .wpd, .wpg, .wps, .x3f, …. , .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka
Miután titkosítási a csatolt fájlok a titkosított fájlok úgy, mint az alábbi kép jelenik meg:
Ez a mód a titkosítás nevű EKB (Elektronikus Rejtjelkulcsot) mód. Az a célja, hogy helyettesítse blokk adatai a jogos adatot, a kódot, valamint egyedi kód generált minden fertőzött számítógépen:
Forrás: Wikipédia
A kulcs lehet küldeni a cyber-bűnözők, aztán egy levél leesett, hogy az áldozat tisztában van egy zsarolási zajlik. A megjegyzés a következő tartalommal:
Kézikönyv Updater eltávolítása útmutató
1. lépés. Uninstall Updater és a kapcsolódó programok
A Windows XP
- Nyissa meg a Start menüt, és kattintson a Control Panel
- Választ Összead vagy eltávolít programokat
- Jelölje ki a nem kívánt alkalmazást
- Kattintson az Eltávolítás gombra
Windows 7 és Vista
- Kattintson a Start gombra, és válassza a Vezérlőpult
- Megy Uninstall egy műsor
- Kattintson a jobb gombbal a gyanús szoftver
- Kiválaszt Uninstall
Windows 8
- Vigye a kurzort a bal alsó sarokban
- Kattintson a jobb gombbal, és nyissa meg a Vezérlőpult
- Válassza ki a program eltávolítása
- Törölje a nem kívánt alkalmazás
2. lépés. Updater eltávolítása a böngészőben
Updater eltávolítása Internet Explorer
- Nyit IE, és kattintson a fogaskerék ikonra
- Válassza a Bővítmények kezelése
- Távolítsa el a nemkívánatos bővítmények
- A Kezdőlap módosítása: fogaskerék ikonra → Internet-beállítások (általános lap)
- Visszaállítása a böngésző: fogaskerék ikonra → Internet-beállítások (Speciális lap)
- Kattintson az Alaphelyzet gombra, jelölje be a négyzetet, és az Alaphelyzetbe állítás gombra
Updater törlése a Mozilla Firefox
- Nyissa meg a Mozilla, és válassza a menü parancsát
- Válasszon Add-ons, és menni kiterjesztések
- Nem kívánt bővítmény kijelölése és kattintson az Eltávolítás gombra
- Reset Mozilla: Alt + H → problémaelhárítási információk
- Kattintson a Reset Firefox, erősítse meg, és kattintson a Befejezés gombra
Updater eltávolítása a Google Chrome
- Nyissa meg a Google Chrome, és válassza a menü parancsát
- Válasszuk az eszközök → kiterjesztések
- Válassza ki a bővítményt, és kattintson a papírkosár ikonra
- A kutatás motor módosítása: menü → Beállítások
- Kattintson a keresőmotorok kezelése szerinti keresés
- Törölje a nem kívánt keresésszolgáltató
- Visszaállítása a böngésző: beállítások → visszaállítás böngésző beállításait
- Kattintson a visszaállítás a megerősítéseként