Cyber Security LAB

Plik infekcja Aes-ni ransomware może być bardzo обфусцированный JavaScript, który jest szkodliwy lub plik дроппера. Także to może być koń trojański lub innych złośliwych programów, takich jak botnet, który wcześniej zainfekowanym KOMPUTERZE ofiary.

Rozprzestrzenianie się zakażenia pliku może odbywać się poprzez masowe SPAM, które są skierowane tylko dla jednego celu – aby oszukać użytkowników lub klikając na szkodliwy plik lub złośliwe strony-link, który jest wbudowany w treści wiadomości e-mail wysłane. Jednym z przykładów takich wiadomości można zobaczyć poniżej:

Oprócz e-mail i cyberprzestępców, którzy stoją za Aes-ni infekcja może upoważnić sobie, aby pobrać szkodliwe pliki na peer-to-peer witryn, takie jak torrent internetowych, na przykład. Takie pliki mogą być prezentowane użytkownikowi jak generatory kluczy do aktywacji licencji na oprogramowanie lub crack lub patch do różnego oprogramowania.

Pobierz za darmo narzędzie do usuwaniaAby usunąć Aes-ni

Inne metody zakażenia mogą obejmować ataku przez fałszywe aktualizacje lub w wyniku złośliwy porywacza przeglądarki. To może wystąpić, jeśli użytkownik ma AD-obsługiwana jest potencjalnie niechcianych aplikacji, znany również jako ПУА.

Jeśli zaraza się stało, dla każdego z tych scenariuszy, Aes-ni szkodliwych plików ransomware mogą być zapisane na zainfekowanym komputerze. Obejmują one:

• !!! CZYTAJ TO – WAŻNE !!!.TXT
• .klucz.aes_ni plików
• Pliki Exectuable znajduje się w %dysk systemowy%, %appdata% lub %Windows% folderów.

Oprócz głównego szkodliwych plików Aes-ni, wirus może również tworzyć duplikaty lub moduły obsługi różnych typów plików (.biblioteki dll .тмп .вбс .nietoperz .exe), które mogą być rozmieszczone w następujący Windows katalogach:

• Folderze %appdata%
• %Roamingu%
• %Lokalnych%
• %Locallow katalog%
• %Systemdrive%
• %Windows%
• %System32%

Aktywność wirusa może również obejmować modyfikacje Windows sub-klucze rejestru w taki sposób, że złośliwy plik wykonywalny, który szyfruje pliki podczas uruchamiania systemu. Klucze przeznaczone do tego są następujące:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

W te klucze, wirus Aes-ni mogą tworzyć niestandardowe polecenia wartość na drogę do złośliwych plików, więc jeśli usuniesz virus ręcznie, można otworzyć klucza i zobacz, gdzie jest złośliwy plik.

Wirus Aes-ni również sprawdza lokalizacji komputera, jeśli komputer z jednego z krajów byłego Związku Radzieckiego, Aes-ni ransomware samodzielnie usuwa i nie szyfruje wszystkie pliki.

Inne rodzaje działalności Aes-ni ransomware zakażenia mogą obejmować zmiany okna kopie w tle w następujących administracyjnych Winodws wiersza polecenia w wierszu polecenia:

→ proces tworzenia „cmd.exe /z
programy vssadmin.exe usunąć cienie /wszystkie /cichy
polecenia bcdedit.exe-plik /set {domyślnie} recoveryenabled nie
polecenia bcdedit.exe /set {domyślnie} pobierania ignoreallfailures

Pobierz za darmo narzędzie do usuwaniaAby usunąć Aes-ni

Aby zaszyfrować pliki, to wirus ransomware wykorzystuje tak zwany tryb szyfrowania EBC. Ten tryb szyfrowania zawiera kilka różnych szyfrowania sekwencji. Tryb ten nazywany jest również tryb elektronicznej książki kodowej. Ten tryb jest używany, gdy więcej niż jeden blok danych z tym samym kluczem jest zaszyfrowany. Algorytm szyfrowania w trybie ecb nazywa Zaawansowany Standard szyfrowania (AES) i jest silnym algorytmem AES-256 bit. Następnie Aes-ni ransomware może łączyć szyfrowanie plików przy użyciu algorytmu RSA, który generuje unikalny klucz szyfrowania dla każdego pliku lub zestawu plików. Następnie klucze szyfrowania mogą być wysyłane poprzez szyfrowane połączenia z serwerami cyberprzestępców, którzy stoją za Aes-ni szkodnika.

Wśród plików zaszyfrowanych Aes-ni ransomware, mogą być następujące:

• Dokumenty.
• Muzyka.
• Wideo.
• Rekordy.
• Obrazów.
• Pliki bazy danych.

Po tym, jak proces szyfrowania zakończony, Aes-ni ransomware określa niestandardowe rozszerzenia zaszyfrowanych plików i pojawiają się w następujący sposób:

Na końcowym etapie procesu szyfrowania powiadomić ofiary z zaszyfrowanych plików. Dzieje się to poprzez odrzucenie wykluczenia wirusa, po imieniu !!! CZYTAJ TO – WAŻNE !!!.TXT. Ona ma następującą treść:

==========================# aes-ni ransomware #========================== █████╗ ██████╗██████╗ ███╗ ██╗ ██╗ ██╔â•â–ˆâ–ˆâ•—██╔â•â•â•â•â–ˆâ–ˆâ•”â•â•â•â• ████╗ ██║ ██║ ██████║█████╗ ██████╗███╗██╔██╗██║ ██║ ██╔â•â–ˆâ–ˆâ•‘██╔â•â•â• â•šâ•â•â•â–ˆâ–ˆâ•‘â•šâ•â•â•â–ˆâ–ˆâ•‘╚████║ ██║ ██║ ██║██████╗██████║ ██║ ╚███║ ██║ â•šâ•â• â•šâ•â•â•šâ•â•â•â•â•â•â•šâ•â•â•â•â•â• â•šâ•â• â•šâ•â•â• â•šâ•â• SORRY! Your files are encrypted. File contents are encrypted with random key (AES-256 bit; ECB mode). Random key is encrypted with RSA public key (2048 bit). We STRONGLY RECOMMEND you NOT to use any “decryption tools”. These tools can damage your data, making recover IMPOSSIBLE. Also we recommend you not to contact data recovery companies. They will just contact us, buy the key and sell it to you at a higher price. If you want to decrypt your files, you have to get RSA private key. In order to get private key, write here: 0xc030@protonmail.ch Also there is one fast way to contact us. If you are familiar with Jabber, write us to JID: zooolo@darknet.nz (it is Jabber, not e-mail address!) You can get Jabber account for example at https://www.xmpp.jp/signup IMPORTANT: In some cases malware researchers can block our e-mails. If you did not receive any answer on e-mail in 48 hours, please do not panic and write to BitMsg (https://bitmsg.me) address: BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN or create topic on https://www.bleepingcomputer.com/ and we will find you there. Also it will be better if you download Tor browser here: https://www.torproject.org/download/download-easy.html.en Download, install and run it; then visit our site (from Tor browser): http://kzg2xa3nsydva3p2.onion/index.php Please do not visit this site from standard browser: it just will not open. You need Tor Browser to open .onion sites. There is a form, you can write us there if all e-mails are blocked and we will contact you very fastly. If someone else offers you files restoring, ask him for test decryption. Only we can successfully decrypt your files; knowing this can protect you from fraud. You will receive instructions of what to do next. You MUST refer this ID in your message: {Unique ID}Also you MUST send all “.key.aes_ni” files from C:ProgramData if there are any. ==========================# aes-ni ransomware #========================== Pobierz za darmo narzędzie do usuwaniaAby usunąć Aes-ni

Źródło: ID-szkodnika-блогспот.HD

Poradnik usuwanie ręczne Aes-ni

Krok 1. Odinstalować Aes-ni i podobne programy

Windows XP

1. Otwórz Start menu i kliknij polecenie Panel sterowania
2. Wybierz Dodaj lub usuń programy
3. Wybierz niechcianych aplikacji
4. Kliknij przycisk Usuń

Windows 7 i Widok perspektywiczny

1. Kliknij przycisk Start i wybierz Panel sterowania
2. Przejdź do odinstalowania programu
3. Kliknij prawym przyciskiem myszy na podejrzanego oprogramowania
4. Wybierz Odinstaluj

Windows 8

1. Przesuń kursor na lewym dolnym rogu
2. Kliknij prawym przyciskiem myszy i Otwórz Panel sterowania
3. Wybierz Odinstaluj program
4. Usuwanie niechcianych aplikacji

Krok 2. Usuń Aes-ni z przeglądarki

Usuń Aes-ni od Internet Explorer

1. Otwórz IE i kliknij ikonę koła zębatego
   
2. Wybierz Zarządzaj add-ons
   
3. Usunąć niepotrzebny rozszerzenia
4. Zmiana strony głównej: ikonę Narzędzia → Opcje internetowe (karta Ogólne)
   
5. Zresetować przeglądarkę: ikonę Narzędzia → Opcje internetowe (karta Zaawansowane)
6. Kliknij przycisk Resetuj, zaznacz pole wyboru i kliknij przycisk Resetuj ponownie
   

Usuń Aes-ni z Mozilla Firefox

1. Otwórz Mozillę i kliknij na menu
   
2. Wybierz Dodatki i przejdź do rozszerzenia
3. Wybierz niepotrzebny dodatek i kliknij przycisk Usuń
   
4. Badanie Mozilla: Alt + H → informacje dla rozwiązywania problemów
   
5. Kliknij przycisk Resetuj Firefox, zatwierd¼ je i kliknij przycisk Zakończ
   

Odinstalować Aes-ni od Google Chrome

1. Otwórz Google Chrome i kliknij na menu
   
2. Wybierz Narzędzia → rozszerzenia
3. Wybierz dodatek i kliknij ikonę kosza
   
4. Zmienić twój zrewidować silnik: Menu Ustawienia →
5. Kliknij przycisk Zarządzaj wyszukiwarkami w Szukaj
   
6. Usunąć niepożądane Wyszukiwarka
   
7. Zresetować przeglądarkę: ustawienia → Resetuj ustawienia przeglądarki
   
8. Kliknij przycisk Reset, aby potwierdzić swoje działania