Cyber Security LAB

Den HERMES ransomware virus er rapportert av malware analytikere å være spres via ondsinnede e-post spam-meldinger. Disse meldingene kan inneholde:

En ondsinnet web-kobling eller en kobling som fører til nedlasting av infeksjon fil.
Infeksjonen fil vedlagt som vedlegg(dokument med skadelig makroer, kjørbar, JavaScript-fil eller andre skadelige kjørbare filer).

Andre metoder som HERMES 2.0 infeksjon kan oppstå er via bruk av skadelige exploit kits, oppdateringer samt infiserte montører, pakket filer og falske nøkkelen generatorer eller programvare utløsere. Slik kan lastes opp på torrent nettsteder, samt nettsteder som er risikabelt. Slik kan åpnes automatisk ved å ha et potensielt uønsket program, forårsaker omadresseringer(http://cyber-securitylab.com/remove-wowstart-online-redirect/) på web-leseren.

Når brukeren åpner infeksjon fil med ransomware virus, det kan koble til en ekstern vert og slippe følgende filer på den infiserte maskinen:

Last ned verktøyet for fjerningfjerne HERMES

• Reload.exe
• system_.bat
• skyggen.bat
• DECRYPT_INFO.txt
• DECRYPT_INFORMATION.html
• UNIQUE_ID_DO_NOT_REMOVE
• HERMES.exe
• skyggen.vbs

I tillegg til disse filene, viruset kan også utelat følgende objekter:

• Cversions.2.db
• Computer Management.lnk
• Flere .db objekter med tilfeldige navn, som ligger i %Cacher% katalogen.

Når en infeksjon som har skjedd, HERMES 2.0 ransomware kan umiddelbart begynne å bruke den metoden som Evelen å omgå UAC service. Så, viruset kan utføre følgende kommandoer uten at brukeren merker det med den hensikt å slette skyggekopier:

→ behandle anrop opprette «cmd.exe /c
vssadmin.exe slett skygger /alle /quiet
bcdedit.exe /set {standard,} recoveryenabled ingen
bcdedit.exe /set {standard,} bootstatuspolicy ignoreallfailures

Sletting av skyggekopier, inkluderer slette filer med følgende filtyper:

→ .VHD .bac .bak .wbcat .bkf ,sikkerhetskopiering .sette, .vinne .dsk

Etter at viruset har slettet skyggekopier, det kan begynne endringer i Windows registerredigering. Slike endringer kan omfatte angripe kjøre og kjøre en gang windows tastene med følgende data:

→ HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun» /v «allkeeper» /t REG_SZ /d «%USERPROFILE%DesktopDECRYPT_INFORMATION.html» /f
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun» /v «sysrep» /t REG_SZ /d «%PUBLIC%Reload.exe» /f
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun» /v «allkeeper» /t REG_SZ /d
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun» /v «sysrep» /t REG_SZ /d
HKCUSoftwareMicrosoftWindowsCurrentVersionRunallkeeper C:usersUserDesktopDECRYPT_INFORMATION.html

Etter Reload.exe filen har blitt løp, ransomware virus begynner krypteringsprosessen.

Krypteringsprosessen av HERMES 2.0 ransomware mål en rekke forskjellige filtyper som skal kodes. Filen-utvidelser som er kryptert hvis oppdages av denne ransomware virus er rapportert av malware forskere til å være følgende:

→ .accdb, .agif, .awdb, .bean, .cdmm, .cdmz, .cdr3, .cdr4, .cdr6, .cdrw, .clkw, .crwl, .ddoc, .djvu, .docm, .docx, .docz, .dotm, .dotx, .dtsx, .emlx, .epsf, .fdxt, .fh10, .fh11, .fodt, .fpos, .ft10, .ft11, .fwdn, .gdoc, .gfie, .glox, .gthr, .hpgl, .html .ikonet .idé, .itc2, .itdb, .jbig, .jpeg, .jpg2, .jrtf, .kdbx, .mbox, .mell, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .mmat, .mobi, .mrxs, .pano, .pict, .pjpg, .pntg, .pobj, .pptm, .pptx, .psdx, .psid, .rctd, .reloc, .riff .s2mv, .lagre .scad, .sdoc, .smil, .ssfn, .sumo, .svgz, .tekst .tiff .utf8, .vrml, .vsdm, .vsdx, .vstm, .vstx, .wbmp, .webp, .wmdb, .xhtm, .xlgc, .xlsb, .xlsm, .xlsx, .zabw (700)

Last ned verktøyet for fjerningfjerne HERMES

For krypteringsprosessen denne utgaven av HERMES ransomware bruker den file extension of it ‘ s navn og legger det uten skilt, punktum. Filer vises som følgende:

Kryptering av HERMES 2.0 er utført med hjelp av to av de mest sofistikerte chiffer så langt, AES og RSA-algoritmer. Krypteringsprosessen inkluderer kryptering av filer via AES cipher og deretter RSA-cipher legge til en ekstra nøkkel til filer, unik for hver infeksjon.

Etter dette har blitt fullført, privat dekryptering informasjon Er sendt til cyber-kriminelle, og den andre versjonen gir følgende løsepenger merk ber om å kontakte cyber-skurkene via Bitmessage adresse:

Manuell HERMES Removal Guide

Trinn 1. Avinstallere HERMES og relaterte programmer

Windows XP

1. Åpne Start-menyen og klikk Kontrollpanel
2. Velg Legg til eller fjern programmer
3. Merk det uønskede programmet
4. Klikk Fjern

Vinduer 7 og Vista

1. Klikk Start og velg Kontrollpanel
2. Gå til Avinstaller et program
3. Høyreklikk på mistenkelig programvare
4. Velg Avinstaller

Windows 8

1. Flytt markøren til nedre venstre hjørne
2. Høyreklikk og åpne Kontrollpanel
3. Velg Avinstaller et program
4. Slette uønsket program

Trinn 2. Fjern HERMES fra nettlesere

Fjern HERMES fra Internet Explorer

1. Åpne IE og klikk på Gear-ikonet
   
2. Velg Administrer tillegg
   
3. Fjerne uønskede extensions
4. Endre startsiden: girikon → Internett-alternativer (kategorien Generelt)
   
5. Tilbakestiller nettleseren: girikon → Internett-alternativer (kategorien Avansert)
6. Klikk Tilbakestill, sjekk boksen og klikk Tilbakestill igjen
   

Slett HERMES fra Mozilla Firefox

1. Åpne Mozilla og klikk på menyen
   
2. Velg Tilleggsprogrammer og gå til utvidelser
3. Merker uønsket tillegget og klikker Fjern
   
4. Tilbakestill Mozilla: Alt + H → feilsøking informasjon
   
5. Klikk Tilbakestill Firefox, bekrefter og klikk Fullfør
   

Avinstallere HERMES fra Google Chrome

1. Åpne Google Chrome og klikk på menyen
   
2. Velge verktøy → utvidelser
3. Velg tillegget og klikker papirkurvikonet
   
4. Endre søkemotoren: → menyinnstillinger
5. Klikk Behandle søkemotorer under søk
   
6. Slette uønskede søkeleverandør
   
7. Tilbakestiller nettleseren: innstillinger → Tilbakestill leserinnstillinger
   
8. Klikk Tilbakestill for å bekrefte handlingen