Cyber Security LAB

De Nep-Windows Updater ransomware infectie kan worden verspreid via verschillende technieken. Het virus kan gebruik maken van derden installateurs via frauduleuze webpagina ‘ s die worden weergegeven aan de gebruiker een bericht waarin u wordt gevraagd de computer bij te werken. Dus, gebruikers kunnen downloaden van het bestand, met de naam 1xxx106Updater1xxx.exe dat is niet een werkelijke Updater, maar eerder een loader of druppelaar van de schadelijke bestanden van deze ransomware virus. Meestal verspreiding van zulke websites zijn over het web, maar ze kunnen worden getoond als pop-ups op een computer, in het geval er sprake is van een ad-ondersteunde toepassing die mogelijk ongewenst is, met andere woorden adware of een browser hijacker-app is geïnstalleerd.

De activiteit van de Nep-Windows Updater virus bestaat uit meerdere verschillende activiteiten, waarvan de eerste is te laten vallen van de kwaadaardige bestanden op de geïnfecteerde computer. De primaire bestanden geassocieerd met Nep Windows Updater ransomware zijn de volgende:

Removal Tool downloadenom te verwijderen Updater

• WindowsUpdater.exe
• Translation-Report.docx.exe

Om het neerzetten van bestanden, het virus kan ook verbinding maken met de volgende hosts:

• hxxps://ganedata.co.uk/ransomware/ransomware.php
• hxxps://ganedata.co.uk/Transaction-Report.docx.exe

Na al oprichting van verbinding met de host, de ransomware virus kan beginnen met het verwijderen van de volume shadow kopieën van de geïnfecteerde computer. Dit is haalbaar in de achtergrond door het invoeren van de volgende commando ‘ s via een script:

→ proces call aanmaken “cmd.exe /c
vssadmin.exe verwijderen schaduwen /alle /quiet
bcdedit.exe /set {default} recoveryenabled geen
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

In aanvulling op het knoeien met Windows schaduwkopieën, de Nep-Windows Updater ransomware kan ook sterk interfereren met de Windows de Register-Editor, meer in het bijzonder sub-sleutels die het wijzigen van bepaalde instellingen, zoals het uitvoeren van bestanden op het systeem op te starten of achtergrond wijzigen:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

In aanvulling op deze, een andere activiteit kan worden weergegeven in een pop-up met de naam van het BESTAND SECURITY BESCHERMD na het coderen van de bestanden.

De codering van bestanden die gecodeerd zijn door Valse Windows Updater Ransomware wordt uitgevoerd via de sterkste AES (Advanced Encryption Algorithm) met een 256-bits kracht. De versleuteling wordt toegepast op de versleutelde bestanden in blokken met een gegenereerde sleutel. Voor de codering van dit virus een van de volgende soorten bestanden zijn gericht op het:

→ .#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z .aac .aaf, .ab4, .ac2, .acc .accd, .ach, .aci .acm .acr, .aep, .aepx, .aes .aet, .afm .ai, .abi .amj, .als, .as3 .asc .asf, .asm, .asp, .asx, .ati, .avi .terug .bak .bat .de baai .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .* .bkf, .bmp .bpf .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .kat, .cb, .cd, .cdf .vgm .cdt, .cdx, .cf8, .cf9, .cfdi, .gvb .cgm, .cgn, .ch, .chg .cht, .clas, .clk, .cmd .cmx, .cnt, .cntk, .coa .cpp, .cpt .cpw, .cpx, .crt, .cs .csl, .mvo .css .csv .cur, .cus, .d07, .het dac .dat, .db, .dbf .dch, .dcr, .ddd, .dds, .defx, .der, .des .dgc, .dif .dip .djv, .djvu .dng .doc, .docb, .docm, .docx .stip .dotm, .dotx, .drw, .ds4, .dsb .dsf, .dtau, .dtd, .dtl, .dwg .dxf .dxi, .ebc, .ebd, .ebq, .ec8, .efs .efsl, .efx .emd, .eml, .emp, .ens, .ent, .epa .epb, .eps .eqb, .ert, .esk, .ess, .esv .etq, .een ets .exp .fa1, .fa2, .fca, .de fcpa, .fcpr, .fcr .fef, .receptie, .fim, .fla, .flac .flv, .fmv, .fon .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .van gdb .gem, .gfi .gif .gnc, .gpc, .gpg, .gsb, .gto .gz, .h .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html .hts, .hwp, .i2b, .iban .ibd, .ico .idml .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int .intu, .inv, .inx, .ipe, .ipg, .de itf, de .jar .java .jng, .jp2, .jpeg .jpg, .js, .jsd, .jsda, .jsp .kb7, .kd3, .kdc .toets .kmo, .kmy, .lag .lay6, .lcd, .ldc, .ldf, .ldr, .laten we, .lgb, .lhr, .deksel .lin .lld, .lmr, .log .lua, .lz, .m .m10 .m11 .m12 .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max .mbsb, .md, .mda .mdb .mdf .mef, .mem, .voldaan .meta .mhtm, .mid .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov .mp2, .mp3, .mp4, .mpa .mpe, .mpeg, .mpg .mql, .mrq, .ms11, .msg .mwi, .mws, .mx0, .myd, .mye, .melkgiftindicator, .myox, .de n43 .nap, .nd, .nef .nl2, .nni, .npc .nv .nv2, .oab, .obi, op .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx .oud .omf, .op, .de orf .ost .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct .pcx, .pd6, .het vob .pdd, .pdf .pem, .per, .pfb, .pfd, .pfx, .pg .php .pic .pl, .plb, .pls, .plt, .pma, .pmd, .png .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn .prpr, .ps, .psd .psp .pst-bestand .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .db1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .- quo .qw5, .qwc, .qwmo, .qxf, .r3d, .ra .de raf .rar, .raw .rb .rcs, .de rda, .rdy, .reb, .rec .resx, .rif, .rm .rpf, .rsspptm, .rtf .rtp .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .zeggen .sba, .sbc .sbd, .sbf, .scd, .sch .sct, .sdf, .sdy, .naad .ses .ingesteld .shw, .sic, .skg, .sldm, .sldx, .slk, .slp .sql .sqli, .sr2, .srf, .gehard .stc, .soa .soa .stm, .str, .stw, .svg, .swf .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10 .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .teer .belasting, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .tekst, .tfx, .tga .tgz .tif .tiff .tkr, .tlg, .tom, .tpl .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb .vbpf, .vbs, .vcf .vdf, .vdi .vmb, .vmdk, .vmx, .vnd, .vob, .vsd .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1 .wk3, .wk4, .wk, .wma .wmf, .wmv, .wpd .wpg, .wps .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xii, .xlm, .xlr, .xls .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka

Removal Tool downloadenom te verwijderen Updater

Na versleuteling van de bestanden zijn toegevoegd van het gecodeerde bestand extensie en worden weergegeven als op de afbeelding hieronder wordt weergegeven:

Deze wijze van versleuteling is de naam van de ECB (Electronic Codebook) modus. Het is bedoeld ter vervanging van blokken gegevens van de legitieme bestanden met gegevens van de code en een unieke decryptie sleutel wordt gegenereerd voor elke geïnfecteerde computer:

Bron: Wikipedia

De sleutel kan dan verzonden worden naar de cyber-criminelen en dan een rantsoen opmerking valt te maken van het slachtoffer bewust een afpersing plaats. De notitie heeft de volgende inhoud:

YOUR FILES HAS BEEN ENCRYPTED Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. Now you have the last chance to decrypt your files. 1. Buy Bitcoin (https://en.bitcoin.it/wiki/Buying_bitcoins) 2. Send amount of 0.02 BTC to address: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE 3. Transaction will take about 15-30 minutes to confirm. 4. When transaction is confirmed, send email to us at ransomwareinc@yopmail.com 5. Write subject of your mail with : ‘Restore my files ***’ 6. Write content of your mail with : ‘Bitcoin payment : (YOUR BITCOIN TRANSACTION ID) Computer Identifier : {UNIQUE ID} 7. We will contact you back with your private key.

De gids van de verwijdering van de handleiding Updater

Stap 1. Updater verwijderen en gerelateerde programma’s

Windows XP

1. Open menu Start en klik op Control Panel
2. Kies toevoegen of verwijderen van programma ‘s
3. Selecteer de ongewenste toepassing
4. Klik op verwijderen

Windows 7 en Vista

1. Klik op Start en selecteer het Configuratiescherm
2. Ga naar verwijderen van een programma
3. Klik met de rechtermuisknop op de verdachte software
4. Selecteer installatie ongedaan maken

Windows 8

1. Cursor naar de bodem verlaten hoek
2. Klik met de rechtermuisknop en open het Configuratiescherm
3. Selecteer een programma verwijderen
4. Ongewenste toepassing verwijderen

Stap 2. Updater verwijderen uit uw browsers

Updater verwijderen uit Internet Explorer

1. Open Internet Explorer en klik op het pictogram Gear
   
2. Selecteer Invoegtoepassingen beheren
   
3. Verwijderen van ongewenste extensies
4. Uw startpagina wijzigen: Gear pictogram → Internet-opties (tabblad Algemeen)
   
5. Uw browser opnieuw instellen: Gear pictogram → Internet-opties (tabblad Geavanceerd)
6. Klik op Reset, schakel het selectievakje en klikt u nogmaals op Reset
   

Verwijderen Updater uit Mozilla Firefox

1. Open Mozilla en klik op het menu
   
2. Kies Add-ons en ga naar Extensions
3. Selecteer ongewenste invoegtoepassing en klik op verwijderen
   
4. Reset Mozilla: Alt + H → Probleemoplossingsinformatie
   
5. Klik op Reset Firefox, bevestig het en klik op Voltooien
   

Updater Uninstall vanuit Google Chrome

1. Open Google Chrome en klik op het menu
   
2. Selecteer Extra → extensies
3. Kies de invoegtoepassing en klik op pictogram van prullenbak kan
   
4. Wijzigen van uw search engine: Menu → instellingen
5. Klik op zoekmachines beheren onder zoeken
   
6. Verwijderen van ongewenste zoekmachine
   
7. Uw browser opnieuw instellen: Settings → Reset browserinstellingen
   
8. Klik op opnieuw instellen om uw actie te bevestigen