Om te infecteren zo veel gebruikers als mogelijk, kan het virus verspreid via kwaadaardige e-mailbijlagen en downloaders en kwaadaardige web links ingesloten in e-mails. Zoals spam e-mails zijn verantwoordelijk voor meer dan 80% van de infecties door ransomware en cyber-criminelen gebruiker nieuwere en nieuwere ontduiking technieken te omzeilen van de beveiliging van die e-mails. Een van de technieken die gebruikt wordt is van massale spam bots die verspreid bijlagen of web koppelingen naar Dropbox of Google drive of andere cloud-accounts bevatten de schadelijke bestanden. De e-mails zelf bevatten overtuigende verklaringen te openen bijlagen/en klik op de weblinks:
Andere methoden van infectie behalve via e-mails verzonden zijn infectie via verschillende types van nep-updates, game patches, software activators, key generators of andere software die kan worden geupload op verdachte torrent sites of software download sites.
Na het kwaadaardige bestand waardoor de infectie is geopend, de BlackRose virus kan vallen van de lading in een aantal van de volgende Windows mappen:
- %AppData%
- %Roaming%
- %Lokale%
- %LocalLow%
- %SystemDrive%
- %Windows%
- %System32%
De bestanden kunnen worden genoemd als de volgende:
→ READ_IT_FOR_GET_YOUR_FILE.txt (Losgeld opmerking)
Hoe install.pdf.exe
Hoe install.exe
{willekeurig bestand met de naam}.exe
Bestand Decryptor.exe
Nadat de bestanden van de BlackRose ransomware zijn al gedaald op de geïnfecteerde computer, het virus kan veranderen in de Run en RunOnce register sleutels op de gecompromitteerde machine. Ze zijn sub-sleutels van de Windows de Register-editor verantwoordelijk voor de items die worden uitgevoerd op Windows boot. Het virus kan wijzigen, zodat de schadelijke bestanden van BlackRose uitvoeren op het systeem opstarten.
Naast het wijzigen van de register-editor, de BlackRose virus kan verwijderen schaduwkopieën en stop Windows back-up service. Dit is haalbaar door het uitvoeren van een script dat wordt uitgevoerd de volgende commando ‘ s in de achtergrond, zonder het slachtoffer te merken:
→ proces call aanmaken “cmd.exe /c
vssadmin.exe verwijderen schaduwen /alle /quiet
bcdedit.exe /set {default} recoveryenabled geen
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
BlackRose ransomware gebruikt het AES-encryptie-algoritme voor het coderen van bestanden op computers die zijn aangetast door het virus. De ransomware infectie maakt gebruik van een encryptie-procedure vervangt de structuur van de kern van de bestanden. Dit maakt de bestanden niet meer te openen.
Onder de gerichte bestanden kunnen worden het volgende:
→ “PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .Het VOB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD-Bestanden .DWG .DXF-GIS-Bestanden .GPX .KML-bestand .KMZ-bestand .ASP .ASPX .CER .CFM .MVO .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGINA ‘ s .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .TOETS .SLEUTELHANGER .PPS .PPT .PPTX ..INI .PRF-Gecodeerde Bestanden .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG-bestand .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TEER .TAX2014 .TAX2015 .VCF .XML Audio-Bestanden .ABI .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA-Video Bestanden .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R. BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CABINE .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com
Removal Tool downloadenom te verwijderen BlackRoseHet virus is zeer voorzichtig niet te versleutelen van belangrijke bestanden op de PC gebruiker die schade kunnen berokkenen aan Windows. Na het coderingsproces voltooid is, BlackRose bladeren bestanden in de volgende staten:
Na het coderingsproces door BlackRose is voltooid, de ransomware infectie daalt het rantsoen let op, zodat je het gemakkelijk opgemerkt. In het eisen worden gesteld voor het slachtoffer te betalen 1 BTC anders de bestanden zullen voor eeuwig verloren gaan. De opmerking is de naam READ_IT_FOR_GET_YOUR_FILE.txt en heeft de volgende inhoud:
De gids van de verwijdering van de handleiding BlackRose
Stap 1. BlackRose verwijderen en gerelateerde programma’s
Windows XP
- Open menu Start en klik op Control Panel
- Kies toevoegen of verwijderen van programma ‘s
- Selecteer de ongewenste toepassing
- Klik op verwijderen
Windows 7 en Vista
- Klik op Start en selecteer het Configuratiescherm
- Ga naar verwijderen van een programma
- Klik met de rechtermuisknop op de verdachte software
- Selecteer installatie ongedaan maken
Windows 8
- Cursor naar de bodem verlaten hoek
- Klik met de rechtermuisknop en open het Configuratiescherm
- Selecteer een programma verwijderen
- Ongewenste toepassing verwijderen
Stap 2. BlackRose verwijderen uit uw browsers
BlackRose verwijderen uit Internet Explorer
- Open Internet Explorer en klik op het pictogram Gear
- Selecteer Invoegtoepassingen beheren
- Verwijderen van ongewenste extensies
- Uw startpagina wijzigen: Gear pictogram → Internet-opties (tabblad Algemeen)
- Uw browser opnieuw instellen: Gear pictogram → Internet-opties (tabblad Geavanceerd)
- Klik op Reset, schakel het selectievakje en klikt u nogmaals op Reset
Verwijderen BlackRose uit Mozilla Firefox
- Open Mozilla en klik op het menu
- Kies Add-ons en ga naar Extensions
- Selecteer ongewenste invoegtoepassing en klik op verwijderen
- Reset Mozilla: Alt + H → Probleemoplossingsinformatie
- Klik op Reset Firefox, bevestig het en klik op Voltooien
BlackRose Uninstall vanuit Google Chrome
- Open Google Chrome en klik op het menu
- Selecteer Extra → extensies
- Kies de invoegtoepassing en klik op pictogram van prullenbak kan
- Wijzigen van uw search engine: Menu → instellingen
- Klik op zoekmachines beheren onder zoeken
- Verwijderen van ongewenste zoekmachine
- Uw browser opnieuw instellen: Settings → Reset browserinstellingen
- Klik op opnieuw instellen om uw actie te bevestigen