Cyber Security LAB

Fordelingen av prosessen Fluffy ransomware kan utføres ved å benytte spam e-postmeldinger for å infisere brukeren PC-er. Vanligvis slike meldinger er sendt via spam programvare og spam kits som inneholder en pre-konfigurert listen over ofrene’ e-postadresser. Spam-meldinger inneholder vanligvis bedragerske e-postmeldingen i dem som tar sikte på å lure brukere til å klikke på en kobling eller åpne vedlegget, lik eksempelet på bildet nedenfor:

Slik overbevisende uttalelser kan noen ganger også omfatte informasjon om kontoen din, slik som ditt navn, adresse og så videre. Denne informasjonen er vanligvis hentet fra nettsteder som mange ofre har registrert deg og satt sitt personlige informasjon. Disse nettstedene hvis kompromittert kan avsløre flere forskjellige opplysninger om brukere, noe som gjør dem til potensielle ofre til å Fluffy ransomware distributers.

Andre former for spredning av denne infeksjonen er om falske installatører av programmer, spill aktivering av programvare, lisens removers og andre falske kjørbare filer kan brukes på torrent nettsteder via kompromitterte kontoer og lastet ned av offeret. Også slike kan bli publisert i mistenkelige nettsteder eller koblet mot brukerens PC som et resultat av å ha en PUP (Potensielt Uønsket Program) som er installert på datamaskinen.

Last ned verktøyet for fjerningfjerne Fluffy

Når Fluffy ransomware har allerede infisert en gitt datamaskin, viruset kan bruke exploits for å slippe den er skadelige filer mens du forblir uoppdaget på offerets datamaskin. Når dette er gjort, Fluffy ransomware infeksjon kan begynne å koble til følgende verter:

• 185.100.85.150:80 – rumensk
• 192.36.27.5:80 – svensk

Fra disse vertene, skadelige filer av Fluffy virus kan lastes ned på datamaskinen av offeret. Disse filene kan bestå av en ondsinnet kjørbar og et bilde, navngitt som følgende:

• Fluffy.exe
• Fluffy.png

Sammen med disse ondsinnede filer, Fluffy ransomware kan også slippe andre støtte-filer som kan utføre skadelig aktivitet på den kompromitterte maskinen. En av disse aktivitetene kan være å slette skyggen volum kopier på den infiserte datamaskinen – aktivitet oppnådd ved hjelp av følgende kommandoer:

→ behandle anrop opprette «cmd.exe /c
vssadmin.exe slett skygger /alle /quiet
bcdedit.exe /set {standard,} recoveryenabled ingen
bcdedit.exe /set {standard,} bootstatuspolicy ignoreallfailures

I tillegg til dette, Fluffy ransomware kan også utføre flere andre aktiviteter, blant som er forstyrrende av Windows Registret sub-tastene for å kjøre programmer på systemet oppstart og endre bakgrunnsbilde:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.STANDARDControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Prosessen med å kryptere filer, kodet av Fluffy ransomware er oppnådd gjennom å utnytte AES-256 kryptering algoritme som krypterer filene ved å bytte blokker av data med algoritmen seg selv. Dette gjør at filer ikke lenger kan åpnes og virus deretter genererer en symmetrisk dekrypteringsnøkkel som sendes deretter til servere av cyber-kriminelle, noe som gjør dem til den eneste i stand til å dekryptere filene.

Last ned verktøyet for fjerningfjerne Fluffy

De krypterte filene har lock75 utvidelse lagt til dem, og kan se ut som bildet under viser:

Etter kryptering prosessen er fullført, lock75 ransomware infeksjon kan droppe det er løsepenger notat, som inneholder følgende melding som fører til TOR-basert web-side 3qsp4lc4ajyk4ccb.løk:

What’s happening? Oh no! Fluffy-TAR has encrypted some of your files! It means they are not lost, but cannot be used until decrypted. They are “locked”, you could say. If you see a file which name ends with “lock75”, it means this file is encrypted. The process is easily reversible but requires a key. What do I do? To get your files back, you must buy the decryption key. This payment must be done in Bitcoins, a cryptographic currency. Bitcoin is becoming more and more accessible and nowadays, it is really easy to use bitcoins. See the online interface (button below) for a more detailed introduction to bitcoins. To get your files back, please send exactly (or more if you want) 0.039 Bitcoins to this address, BEFORE the countdown below ends: 1D4yXNh45nur1KVNqnPZ5T7nep5Y1KDbwx Uppercase/lowercase matter! Make sure you send to the right address! (you can scan the QR code to copy it) After sending the payment, wait an hour then click the “Retrieve key automatically” button below. The software will then receive the key and decrypt ALL encrypted files. Without the key, it is impossible to decrypt your files. Without the proper payment, it is impossible to get the key. When the countdown reaches zero, you will lose all encrypted documents. Please note: If you have an antivirus, disable it now if you don’t want to lose your data.

Blant de krypterte filene er følgende filtyper:

→ .3fr, .7z, .abu, .accdb, .ai, .arp, .arw, .asp, .aspx, .esel .eiendelen .ava, .avi,.bas, .bay .bdcr, .bdcu, .bdd, .bdp, .bds, .bikey, .blend .bmp .bpdr, .bpdu, .bsdr, .bsdu, .c, .cc.cd, .cdr, .cer, .klasse .com, .config, .cpp, .cr2, .crt, .crw, .cs, .csv .cxx, .db .dbf, .dbx og.dcr, .dd, .dds, .der, .dng, .doc, .docm, .docx, .DTD, .dwg, .dxf, .dxg, .eps, .erf, .fdb, .smi, .gdb,.gif .grupper .gsd, .gsf, .h, .hpp, .htm, .html .ims .indd, .iss, .jar .java, .jpe, .jpeg, .jpg,.js .jsp .kdc, .tasten .kwm, .lua, .m, .md .mdb og .mdf, .mef, .mp3, .mpg, .mrw, .msg, .nef,.nrw, .oab, .obj, .odb, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .PAS, .pas, .pdb og.pdd, .pdf .pef, .pem, .pfx, .php, .pl, .png .ppk, .ppt, .pptm, .pptx, .ps, .psd, .pst, .psw, .ptx, .pwm, .py, .r3d, .raf, .rar, .RÅ, .rå, .rgx, .rik, .rm, .rtf, .rw2, .rwl, .safe .sav, .sln,.sql .srf, .srw, .swf, .swift, .tex, .txt, .vcf -, .vsd, .wb2, .wpd, .wps, .xcf, .xlk, .xls og .xlsb,.xlsm, .xlsx, .xml .zip

Manuell Fluffy Removal Guide

Trinn 1. Avinstallere Fluffy og relaterte programmer

Windows XP

1. Åpne Start-menyen og klikk Kontrollpanel
2. Velg Legg til eller fjern programmer
3. Merk det uønskede programmet
4. Klikk Fjern

Vinduer 7 og Vista

1. Klikk Start og velg Kontrollpanel
2. Gå til Avinstaller et program
3. Høyreklikk på mistenkelig programvare
4. Velg Avinstaller

Last ned verktøyet for fjerningfjerne Fluffy

Windows 8

1. Flytt markøren til nedre venstre hjørne
2. Høyreklikk og åpne Kontrollpanel
3. Velg Avinstaller et program
4. Slette uønsket program

Trinn 2. Fjern Fluffy fra nettlesere

Fjern Fluffy fra Internet Explorer

1. Åpne IE og klikk på Gear-ikonet
   
2. Velg Administrer tillegg
   
3. Fjerne uønskede extensions
4. Endre startsiden: girikon → Internett-alternativer (kategorien Generelt)
   
5. Tilbakestiller nettleseren: girikon → Internett-alternativer (kategorien Avansert)
6. Klikk Tilbakestill, sjekk boksen og klikk Tilbakestill igjen
   

Slett Fluffy fra Mozilla Firefox

1. Åpne Mozilla og klikk på menyen
   
2. Velg Tilleggsprogrammer og gå til utvidelser
3. Merker uønsket tillegget og klikker Fjern
   
4. Tilbakestill Mozilla: Alt + H → feilsøking informasjon
   
5. Klikk Tilbakestill Firefox, bekrefter og klikk Fullfør
   

Avinstallere Fluffy fra Google Chrome

1. Åpne Google Chrome og klikk på menyen
   
2. Velge verktøy → utvidelser
3. Velg tillegget og klikker papirkurvikonet
   
4. Endre søkemotoren: → menyinnstillinger
5. Klikk Behandle søkemotorer under søk
   
6. Slette uønskede søkeleverandør
   
7. Tilbakestiller nettleseren: innstillinger → Tilbakestill leserinnstillinger
   
8. Klikk Tilbakestill for å bekrefte handlingen