Cyber Security LAB

Infeksjon-fil av Aes-ni ransomware kan være et tungt forvirrende JavaScript som er skadelig eller et dropper-fil. Det kan også være en Trojanske hester eller annen skadelig programvare, for eksempel botnet som har tidligere kompromittert offeret PC.

Distribusjon av infeksjonen filen kan utføres via massive spam e-post-kampanjer som mål for en ting bare – for å lure brukere til å klikke på ondsinnet fil eller en ondsinnet web-koblingen som er innebygd i kroppen av e-posten er sendt. Et eksempel på en slik melding kan sees nedenfor:

I tillegg til e-post, cyber-kriminelle som står bak den Aes-ni infeksjon kan gi seg selv til å laste opp skadelige filer på fil-deling nettsteder, som torrent nettsteder, for eksempel. Slike filer kan presenteres til brukeren som nøkkel generator for å aktivere en lisens for et gitt program eller en sprekk eller oppdatering for annen programvare.

Andre infeksjon metoder kan omfatte angrep via falske oppdateringer eller som et resultat av en ondsinnet nettleser omdirigere. Slikt kan skje hvis brukeren har en ad-støttet potensielt uønsket program, også kjent som PUA.

Last ned verktøyet for fjerningfjerne Aes-ni

Når en infeksjon som har skjedd, av noen av disse scenariene, Aes-ni ransomware er skadelige filer kan bli droppet på den infiserte datamaskinen. De inkluderer:

• !!! LES DENNE – VIKTIG !!!.txt
• .tasten.aes_ni filer
• Exectuable-filene ligger i mappen %systemstasjon%, %AppData% eller %Windows% mapper.

I tillegg til den primære skadelige filer av Aes-ni, viruset kan også opprette dupliserte filer eller støtte moduler av ulike typer filer (.dll, .tmp, .vbs, .bat .exe) som kan plasseres i følgende Windows kataloger:

• %AppData%
• %Roaming%
• %Lokal%
• %LocalLow%
• %SystemDrive%
• %Windows%
• %System32%

Aktiviteten til viruset kan også omfatte endringer av Windows Registret sub-tastene på en måte som ondsinnet kjørbar som krypterer filer som kjører på systemet starter opp. Tastene målrettet for dette er følgende:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

I disse nøklene, Aes-ni virus kan opprette egendefinerte verdi strenger med banen til den skadelige filer, så hvis du skal fjerne viruset manuelt, kan du åpne-tasten og se hvor den skadelige filen er plassert.

Den Aes-ni virus utfører også en sjekk av plasseringen av den kompromitterte maskinen, og hvis datamaskinen er fra en av de tidligere Sovjetunionen land, Aes-ni ransomware self-sletter og ikke kryptere alle filene.

Andre aktiviteter i Aes-ni ransomware infeksjon kan omfatte endring av Vinduet skyggekopier via følgende administrative Winodws ledeteksten kommando linjer:

→ behandle anrop opprette «cmd.exe /c
vssadmin.exe slett skygger /alle /quiet
bcdedit.exe /set {standard,} recoveryenabled ingen
bcdedit.exe /set {standard,} bootstatuspolicy ignoreallfailures

Til å kryptere filer, kan denne ransomware virus bruker den såkalte ECB kryptering. Dette kryptering modus inneholder flere forskjellige kryptering sekvenser. Modusen er også kjent som Electronic Code Book-modus. Denne modusen brukes når mer enn én blokk av data med den samme nøkkelen kryptert gang. Krypteringsalgoritmen for ECB-modus er kalt Advanced Encryption Standard (AES) og er den sterkeste AES-256 bits. Så , Aes-ni ransomware kan kombinere fil kryptering med RSA-algoritmen som genererer en unik dekrypteringsnøkkelen for hver fil eller et sett med filer. Den dekrypteringsnøkler kan deretter bli sendt via en kryptert tilkobling til servere av cyber-kriminelle som står bak Aes-ni ransomware.

Last ned verktøyet for fjerningfjerne Aes-ni

Blant de filer som er kryptert med Aes-ni ransomware kan være følgende:

• Dokumenter.
• Musikk.
• Videoer.
• Innspillinger.
• Bilder.
• - Database filer.

Etter kryptering prosessen er fullført, Aes-ni ransomware angir en egendefinert file extension til de krypterte filene og de vises som følgende:

Det siste trinnet av kryptering prosessen er å offeret av krypterte filer. Dette skjer ved å slippe løsepenger merk av virus, heter !!! LES DENNE – VIKTIG !!!.txt. Den har følgende innhold:

==========================# aes-ni ransomware #========================== █████╗ ██████╗██████╗ ███╗ ██╗ ██╗ ██╔â•â–ˆâ–ˆâ•—██╔â•â•â•â•â–ˆâ–ˆâ•”â•â•â•â• ████╗ ██║ ██║ ██████║█████╗ ██████╗███╗██╔██╗██║ ██║ ██╔â•â–ˆâ–ˆâ•‘██╔â•â•â• â•šâ•â•â•â–ˆâ–ˆâ•‘â•šâ•â•â•â–ˆâ–ˆâ•‘╚████║ ██║ ██║ ██║██████╗██████║ ██║ ╚███║ ██║ â•šâ•â• â•šâ•â•â•šâ•â•â•â•â•â•â•šâ•â•â•â•â•â• â•šâ•â• â•šâ•â•â• â•šâ•â• SORRY! Your files are encrypted. File contents are encrypted with random key (AES-256 bit; ECB mode). Random key is encrypted with RSA public key (2048 bit). We STRONGLY RECOMMEND you NOT to use any “decryption tools”. These tools can damage your data, making recover IMPOSSIBLE. Also we recommend you not to contact data recovery companies. They will just contact us, buy the key and sell it to you at a higher price. If you want to decrypt your files, you have to get RSA private key. In order to get private key, write here: 0xc030@protonmail.ch Also there is one fast way to contact us. If you are familiar with Jabber, write us to JID: zooolo@darknet.nz (it is Jabber, not e-mail address!) You can get Jabber account for example at https://www.xmpp.jp/signup IMPORTANT: In some cases malware researchers can block our e-mails. If you did not receive any answer on e-mail in 48 hours, please do not panic and write to BitMsg (https://bitmsg.me) address: BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN or create topic on https://www.bleepingcomputer.com/ and we will find you there. Also it will be better if you download Tor browser here: https://www.torproject.org/download/download-easy.html.en Download, install and run it; then visit our site (from Tor browser): http://kzg2xa3nsydva3p2.onion/index.php Please do not visit this site from standard browser: it just will not open. You need Tor Browser to open .onion sites. There is a form, you can write us there if all e-mails are blocked and we will contact you very fastly. If someone else offers you files restoring, ask him for test decryption. Only we can successfully decrypt your files; knowing this can protect you from fraud. You will receive instructions of what to do next. You MUST refer this ID in your message: {Unique ID}Also you MUST send all “.key.aes_ni” files from C:ProgramData if there are any. ==========================# aes-ni ransomware #========================== Last ned verktøyet for fjerningfjerne Aes-ni

Kilde: id-ransomware-blogspot.bg

Manuell Aes-ni Removal Guide

Trinn 1. Avinstallere Aes-ni og relaterte programmer

Windows XP

1. Åpne Start-menyen og klikk Kontrollpanel
2. Velg Legg til eller fjern programmer
3. Merk det uønskede programmet
4. Klikk Fjern

Vinduer 7 og Vista

1. Klikk Start og velg Kontrollpanel
2. Gå til Avinstaller et program
3. Høyreklikk på mistenkelig programvare
4. Velg Avinstaller

Windows 8

1. Flytt markøren til nedre venstre hjørne
2. Høyreklikk og åpne Kontrollpanel
3. Velg Avinstaller et program
4. Slette uønsket program

Trinn 2. Fjern Aes-ni fra nettlesere

Fjern Aes-ni fra Internet Explorer

1. Åpne IE og klikk på Gear-ikonet
   
2. Velg Administrer tillegg
   
3. Fjerne uønskede extensions
4. Endre startsiden: girikon → Internett-alternativer (kategorien Generelt)
   
5. Tilbakestiller nettleseren: girikon → Internett-alternativer (kategorien Avansert)
6. Klikk Tilbakestill, sjekk boksen og klikk Tilbakestill igjen
   

Slett Aes-ni fra Mozilla Firefox

1. Åpne Mozilla og klikk på menyen
   
2. Velg Tilleggsprogrammer og gå til utvidelser
3. Merker uønsket tillegget og klikker Fjern
   
4. Tilbakestill Mozilla: Alt + H → feilsøking informasjon
   
5. Klikk Tilbakestill Firefox, bekrefter og klikk Fullfør
   

Avinstallere Aes-ni fra Google Chrome

1. Åpne Google Chrome og klikk på menyen
   
2. Velge verktøy → utvidelser
3. Velg tillegget og klikker papirkurvikonet
   
4. Endre søkemotoren: → menyinnstillinger
5. Klikk Behandle søkemotorer under søk
   
6. Slette uønskede søkeleverandør
   
7. Tilbakestiller nettleseren: innstillinger → Tilbakestill leserinnstillinger
   
8. Klikk Tilbakestill for å bekrefte handlingen