Infeksjonen prosessen med Putty begynner med det er metoder for distribusjon. Viruset har en nyttelast fil som heter CamSnap.exe. Denne filen kan bli identifisert med følgende SHA256:
- 07ba533a694e1733f8ef1c18ac191867382f4ca7a51244cda6ef5ec119fbfe53
- wfdb8c7c1fa5b44419ae43679be83782f46cb40b422805c86c7cc4ffe72454f6f
Både CamSnap filene er lastet opp i VirusTotal, men bare én av dem har en høy gjenkjennelse:
Dette kjørbar (CamSnap) kan imitere installasjon av et program som mål å gjøre det enklere hvordan man tar bilder med sin web-kamera, i henhold til utgivers beskrivelse:
Bilde Kilde: Cnet
Denne peker til denne ransomware blir distribuert via falske installatører av programmer. Disse montører kan lastes opp på Torrent nettsteder, samt nettsteder som tilbyr gratis programvare.
Etter ondsinnet kjørbar er åpnet, Putty virus kan kjøre en forvirrende script som kan injisere kode på legitime Windows prosesser, som for eksempel rundll32.exe og svchost.exe. Deretter, mer skadelige filer kan bli droppet på brukerens datamaskin. Filene kan være plassert i følgende Windows kataloger:
- %AppData%
- %Roaming%
- %Lokal%
- %SystemDrive%
- %Windows%
Så, Putty virus kan utføre vssadmin kommando som brukes til å slette skygge volum kopier fra den infiserte datamaskinen.
Etter at denne kommandoen har blitt initiert, Putty viruset kan også dra nytte av Windows registerredigering ved å endre ulike Windows Registret sub-tastene i det. Den vanligvis målrettede av disse er følgende:
→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.STANDARDControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
Putty Ransomware – krypteringsprosessen
Så snart Putty ransomware begynner krypteringsprosessen viruset er pre-konfigurert til å målrette filer av følgende filtyper:
- Microsoft Office-dokumenter.
- PDF-dokumenter.
- Videoer.
- Arkiv-filer.
- Audio filer.
- Bilder.
- OpenOffice dokumenter.
I tillegg til dette, ransomware infeksjonen begynner også å ansette AES (Advanced Encryption Standard) – algoritme på filer, noe som gjør dem ikke lenger kan åpnes. Når krypteringen er fullført, Putty ransomware kan slippe en løsepenge merk type fil på datamaskinen av offeret ber om en heftig gevinst gjøres for å få til de krypterte filene tilbake.
Manuell Putty Removal Guide
Trinn 1. Avinstallere Putty og relaterte programmer
Windows XP
- Åpne Start-menyen og klikk Kontrollpanel
- Velg Legg til eller fjern programmer
- Merk det uønskede programmet
- Klikk Fjern
Vinduer 7 og Vista
- Klikk Start og velg Kontrollpanel
- Gå til Avinstaller et program
- Høyreklikk på mistenkelig programvare
- Velg Avinstaller
Windows 8
- Flytt markøren til nedre venstre hjørne
- Høyreklikk og åpne Kontrollpanel
- Velg Avinstaller et program
- Slette uønsket program
Trinn 2. Fjern Putty fra nettlesere
Fjern Putty fra Internet Explorer
- Åpne IE og klikk på Gear-ikonet
- Velg Administrer tillegg
- Fjerne uønskede extensions
- Endre startsiden: girikon → Internett-alternativer (kategorien Generelt)
- Tilbakestiller nettleseren: girikon → Internett-alternativer (kategorien Avansert)
- Klikk Tilbakestill, sjekk boksen og klikk Tilbakestill igjen
Slett Putty fra Mozilla Firefox
- Åpne Mozilla og klikk på menyen
- Velg Tilleggsprogrammer og gå til utvidelser
- Merker uønsket tillegget og klikker Fjern
- Tilbakestill Mozilla: Alt + H → feilsøking informasjon
- Klikk Tilbakestill Firefox, bekrefter og klikk Fullfør
Avinstallere Putty fra Google Chrome
- Åpne Google Chrome og klikk på menyen
- Velge verktøy → utvidelser
- Velg tillegget og klikker papirkurvikonet
- Endre søkemotoren: → menyinnstillinger
- Klikk Behandle søkemotorer under søk
- Slette uønskede søkeleverandør
- Tilbakestiller nettleseren: innstillinger → Tilbakestill leserinnstillinger
- Klikk Tilbakestill for å bekrefte handlingen