Cyber Security LAB

De verspreiding van dit virus in om te infecteren gerichte slachtoffers kunnen worden uitgevoerd via verschillende methoden:

Spam via e-mail met een kwaadaardige bijlage bij e-mail of web-link die leiden tot een infectie.

• Via een web-injectoren.
• Via nep-updates van Windows, Flash Player, Java of andere belangrijke software.
• Via verdacht veel gedownload instellingen die lid zijn van de schadelijke code.
• Via nep-key generators, spel scheuren en andere software activators geupload op toerrent sites.

De meest voorkomende methode van het verspreiden van ransomware, zoals de Wallet variant, afkomstig uit de CrypoMix familie van virussen is bekend als e-mail spam. Deze geavanceerde spam campagnes gericht om massaal verzonden via spamming software om computers over de hele wereld. Ze bevatten meestal documenten of uitvoerbare bestanden als bijlagen zijn kwaadaardig. De gebruikers worden misleid dat de bijlagen zijn legitieme facturen, kwitanties en anderen. Om te leren hoe om jezelf te beschermen tegen dergelijke e-mails, raden wij het lezen van het bijbehorende artikel:

Zodra uw computer is geïnfecteerd met het .Wallet bestand virus, malware waardoor de infectie, die meestal een druppelaar of een downloader Trojan, kan het downloaden van de lading. Dit is haalbaar door te verbinden naar de volgende gastheer na infectie:

Removal Tool downloadenom te verwijderen Wallet

• 185.125.32.14/check/gif.php

De gedownloade lading van de Wallet infectie bestaat uit een bestand met de naam monsendas.exe en het kan ook verschillende andere bestanden met verschillende namen, gelegen in belangrijke Windows mappen:

Na het downloaden van de lading, het Wallet virus kan knoeien met de Windows de Register-editor, het wijzigen van de volgende sub-sleutels:

• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
• Texttt
• Texttt
• Texttt

In aanvulling op deze, Wallet ransomware kan zich ook richten op het verwijderen van de Volume Shadow Kopieën op de geïnfecteerde machine, door het uitvoeren van de volgende commando ‘ s:

→ proces call aanmaken “cmd.exe /c
vssadmin.exe verwijderen schaduwen /alle /quiet
bcdedit.exe /set {default} recoveryenabled geen
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Vergelijkbaar met de Dharma .Wallet ransomware, deze versie van CryptoMix kan worden gericht op een zeer specifieke bestanden te versleutelen. Deze bestanden zijn onder andere documenten, video ‘s, foto’ s, audio-bestanden, bestanden die zijn gekoppeld aan archieven en vaak gebruikte programma ‘ s. Kan het virus scan voor de volgende bestanden wilt coderen:

De codering van de Wallet virus wordt bereikt door het uitvoeren van de wijziging op de blokken van de gegevens van de bestanden te vervangen door de oorspronkelijke inhoud met de inhoud van het encryptie-algoritme, vergelijkbaar met wat de afbeelding hieronder wordt weergegeven:

De encryptie-algoritmes die hiervoor worden gebruikt zijn de volgende:

• Rivest-Shamir-Adleman ook bekend als RSA met een beetje kracht van 2048. (sterkste stabiel)t
• Geavanceerde Encryptie-Algoritme ook bekend als Rijndael met een beetje kracht van 256. (sterkste stabiel)

Nadat de codering is voltooid, set van decryptie sleutels zijn gegenereerd, de particulier die zijn verzonden naar de cyber-criminelen achter de Wallet ransomware infectie. De bestanden niet meer op dezelfde manier worden weergegeven:

De laatste stap van het virus is op de hoogte van het slachtoffer via het rantsoen bericht:

All your files haue been encrypted! All your files haue been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail shield0@usa.com Write this ID in the title of your message ***** You haue to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. Vou haue to register, click ‘Buy bitcoins’, and select the seller by payment method and price. http://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: http://wviw.coindesk.com/information/how-can-i-buy-bitcoins Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. Removal Tool downloadenom te verwijderen Wallet

De gids van de verwijdering van de handleiding Wallet

Stap 1. Wallet verwijderen en gerelateerde programma’s

Windows XP

1. Open menu Start en klik op Control Panel
2. Kies toevoegen of verwijderen van programma ‘s
3. Selecteer de ongewenste toepassing
4. Klik op verwijderen

Windows 7 en Vista

1. Klik op Start en selecteer het Configuratiescherm
2. Ga naar verwijderen van een programma
3. Klik met de rechtermuisknop op de verdachte software
4. Selecteer installatie ongedaan maken

Windows 8

1. Cursor naar de bodem verlaten hoek
2. Klik met de rechtermuisknop en open het Configuratiescherm
3. Selecteer een programma verwijderen
4. Ongewenste toepassing verwijderen

Stap 2. Wallet verwijderen uit uw browsers

Wallet verwijderen uit Internet Explorer

1. Open Internet Explorer en klik op het pictogram Gear
   
2. Selecteer Invoegtoepassingen beheren
   
3. Verwijderen van ongewenste extensies
4. Uw startpagina wijzigen: Gear pictogram → Internet-opties (tabblad Algemeen)
   
5. Uw browser opnieuw instellen: Gear pictogram → Internet-opties (tabblad Geavanceerd)
6. Klik op Reset, schakel het selectievakje en klikt u nogmaals op Reset
   

Verwijderen Wallet uit Mozilla Firefox

1. Open Mozilla en klik op het menu
   
2. Kies Add-ons en ga naar Extensions
3. Selecteer ongewenste invoegtoepassing en klik op verwijderen
   
4. Reset Mozilla: Alt + H → Probleemoplossingsinformatie
   
5. Klik op Reset Firefox, bevestig het en klik op Voltooien
   

Wallet Uninstall vanuit Google Chrome

1. Open Google Chrome en klik op het menu
   
2. Selecteer Extra → extensies
3. Kies de invoegtoepassing en klik op pictogram van prullenbak kan
   
4. Wijzigen van uw search engine: Menu → instellingen
5. Klik op zoekmachines beheren onder zoeken
   
6. Verwijderen van ongewenste zoekmachine
   
7. Uw browser opnieuw instellen: Settings → Reset browserinstellingen
   
8. Klik op opnieuw instellen om uw actie te bevestigen