Cyber Security LAB

Å spre seg på nettet, hackere bak dette lockscreen typen virus kan dra nytte av flere ulike verktøy og kits. De mest brukte av disse er:

• Exploit-kits.
• Fil snekkere som kombinerer skadelig kode med legitime kjørbare filer.
• Spamming bots eller tjenester.
• En pre-laget liste av falske e-postadresser med god kvalitet.
• En liste med e-postadresser til spam.
• Hacket elektroniske kontoer.
• Shady domener og servere for kommando og kontroll.

Bruk av disse verktøyene kan resultere i spamming av skadelige filer, så vel som internett-koblinger som inneholder Arestocrat infeksjon. Disse kan være ledsaget av en e-postmelding med en svært overbevisende uttalelse, hvis eneste mål er å få brukeren til å klikke på ondsinnet web-link eller vedlegg. Eksempel bilder av slike spam e-post kan sees nedenfor:

I tillegg til å bruke nye metoder for å infisere brukere, cyber-kriminelle bruker også nye svikefulle triks, som å bruke navnet på brukeren av e-postkonto i e-post tekst, for ytterligere tillit og overbevisende.

I tillegg til spammet e-post, nevnte verktøyene kan også brukes til å spre Arestocrat virus på flere andre måter, for eksempel:

• Via falske oppdateringer av Adobe eller Windows lagt ut på skyggefulle steder eller lastes ned via uønsket programvare.
• Gjennom falske programmet lisensiering flekker eller tast generator lastes opp fra hacket elektroniske kontoer på torrent nettsteder.
• Via spillet sprekker, patcher eller selvutpakkende arkiver. (SFX)

Så snart brukeren åpner infeksjon fil eller en internett-kobling, en ondsinnet kode kan kjøres. Denne koden er koblet til en fordeling vert og via en usikret internett-port nedlastinger nyttelasten av Arestocrat lockscreen. Etter nyttelast har blitt lastet ned på den infiserte datamaskinen, kan det være plassert på følgende steder:

• %AppData%
• %Lokal%
• %LocalLow%
• %Roaming%

Så snart dette malware har blitt ligger, det kan begynne å sterkt endre Windows registerredigering. Følgende Windows Registret sub-tastene kan være målrettet for endring:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell MapperAppData Local
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell MapperMaler
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell MapperAppData
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell MapperCache
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell MapperCookies
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell MapperHistorie
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell MapperAppData
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShell MapperCommonAppData
HKLMSystemCurrentcontrolSetMaskinvare Profiler001SoftwareMicrostwindowsCurrentVersionInternet SettingsProxyEnable
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsTilkoblingerSavedLegacySettings
HKCUSoftwareMicrosoftWindowsRunqcgce2mrvjq91kk1e7pnbb19m52fx
HKCUSoftwareMicrosoftCommand-ProsessorAutoRun
HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell
HKCRCLSID{random alfa-numerisk tast}InProcServer32ThreadingModel
HKCRCLSID{random alfa-numerisk tast}InProcServer32TheadingModel(Standard)
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapUNCAsIntranet
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapAutoDetect

Etter denne endringen har blitt utført lockscreen virus kan forårsake en kraft tilbakestille datamaskinen til brukeren etter som Arestocrat Lockscreen kan vises:

Fra det, kan brukeren bli krevde å betale en «avgift» for å få tilbake tilgang til datamaskinen hans. En slik type police ransomware virus er ikke noe nytt, og heldigvis er de ikke kryptere filer, noe som betyr at de kan fjernes.

Manuell Arestocrat Removal Guide

Trinn 1. Avinstallere Arestocrat og relaterte programmer

Windows XP

1. Åpne Start-menyen og klikk Kontrollpanel
2. Velg Legg til eller fjern programmer
3. Merk det uønskede programmet
4. Klikk Fjern

Vinduer 7 og Vista

1. Klikk Start og velg Kontrollpanel
2. Gå til Avinstaller et program
3. Høyreklikk på mistenkelig programvare
4. Velg Avinstaller

Windows 8

1. Flytt markøren til nedre venstre hjørne
2. Høyreklikk og åpne Kontrollpanel
3. Velg Avinstaller et program
4. Slette uønsket program

Trinn 2. Fjern Arestocrat fra nettlesere

Fjern Arestocrat fra Internet Explorer

1. Åpne IE og klikk på Gear-ikonet
   
2. Velg Administrer tillegg
   
3. Fjerne uønskede extensions
4. Endre startsiden: girikon → Internett-alternativer (kategorien Generelt)
   
5. Tilbakestiller nettleseren: girikon → Internett-alternativer (kategorien Avansert)
6. Klikk Tilbakestill, sjekk boksen og klikk Tilbakestill igjen
   

Slett Arestocrat fra Mozilla Firefox

1. Åpne Mozilla og klikk på menyen
   
2. Velg Tilleggsprogrammer og gå til utvidelser
3. Merker uønsket tillegget og klikker Fjern
   
4. Tilbakestill Mozilla: Alt + H → feilsøking informasjon
   
5. Klikk Tilbakestill Firefox, bekrefter og klikk Fullfør
   

Avinstallere Arestocrat fra Google Chrome

1. Åpne Google Chrome og klikk på menyen
   
2. Velge verktøy → utvidelser
3. Velg tillegget og klikker papirkurvikonet
   
4. Endre søkemotoren: → menyinnstillinger
5. Klikk Behandle søkemotorer under søk
   
6. Slette uønskede søkeleverandør
   
7. Tilbakestiller nettleseren: innstillinger → Tilbakestill leserinnstillinger
   
8. Klikk Tilbakestill for å bekrefte handlingen