Cyber Security LAB

Att sprida på nätet, hackare bakom detta lockscreen typ av virus som kan dra fördel av flera olika verktyg och byggsatser. Den vanligaste av dessa är:

• Exploit kits.
• Fil snickare som kombinerar skadlig kod med legitima körbara filer.
• Spam bots eller tjänster.
• Ett i förväg skapat lista av falska e-mail adresser med god kvalitet.
• En lista med e-post adresser för spam.
• Hackade konton online.
• Ljusskygga domäner och servrar för ledning och styrning.

Användningen av dessa verktyg kan resultera i spam av skadliga filer och länkar som innehåller Arestocrat infektion. Dessa kan åtföljas av ett e-postmeddelande med en mycket övertygande uttalande, vars enda syfte är att få användaren att klicka på en skadlig länk eller öppna den bifogade filen. Exempel bilder av dessa spam e-postmeddelanden kan ses nedan:

Förutom att använda nya metoder för att infektera användarna, cyber-brottslingar också använda nya bedrägliga knep, som använder namnet på användaren av e-postkonto i e-post och sms, för ytterligare förtroende och övertyga.

Förutom spam e-post, den ovan nämnda verktyg kan också användas för att sprida Arestocrat virus på flera andra sätt, till exempel:

• Via falska uppdateringar av Adobe eller Windows inlagd på skuggiga platser eller laddas ner via oönskad programvara.
• Genom falska program licensiering fläckar eller nyckel generatorer laddas upp från hackade konton online på torrent webbplatser.
• Via spel sprickor, fläckar eller självextraherande arkiv. (SFX)

Så snart användaren öppnar infektion fil eller länk, en skadlig kod som kan exekveras. Denna kod ansluter till en distribution som värd och via ett osäkert webb-port nedladdningar nyttolasten för Arestocrat lockscreen. Efter den nyttolast som har laddats ner, starta om den smittade datorn, det kan vara belägna på följande platser:

• %AppData%
• %Lokala%
• %LocalLow%
• %Roaming%

Så snart som denna malware har varit beläget, kan det börja att starkt modifiera Windows Registereditorn. Följande Windows Registret sub-nycklar kan vara riktade till ändring:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersLokala AppData
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersMallar
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersAppData
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCache
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCookies
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersHistoria
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersAppData
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCommonAppData
HKLMSystemCurrentcontrolSetmaskinvaruprofiler001SoftwareMicrostwindowsCurrentVersionInternet SettingsProxyEnable
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsAnslutningarSavedLegacySettings
HKCUSoftwareMicrosoftWindowsRunqcgce2mrvjq91kk1e7pnbb19m52fx
HKCUSoftwareMicrosoftCommand ProcessorAutoRun
HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonSkal
HKCRCLSID{slumpmässiga alfa-numerisk tangent}InProcServer32ThreadingModel
HKCRCLSID{slumpmässiga alfa-numerisk tangent}InProcServer32TheadingModel(Standard)
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapUNCAsIntranet
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapAutodetektera

Efter denna ändring har gjorts för låsskärmen virus kan orsaka en kraft att återställa datorn om användaren efter som Arestocrat Låsskärmen kan visas:

Därifrån kan användaren krävde att betala en ”avgift” för att få tillgång till hans dator. En sådan typ av police ransomware virus är inget nytt och lyckligtvis de inte kryptera filer, vilket innebär att de kan tas bort.

Manual [postnamn] avlägsnande Guide

Steg 1. Avinstallera [postnamn] och relaterade program

Windows XP

1. Öppna Start-menyn och klicka på Kontrollpanelen
2. Välj Lägg till eller ta bort program
3. Välj det oönskade programmet
4. Klicka på ta bort

Windows 7 och Vista

1. Klicka på Start och välj Kontrollpanelen
2. Gå till avinstallera ett program
3. Högerklicka på den misstänkta programvaran
4. Välj avinstallera

Windows 8

1. Flytta markören till det nedre vänstra hörnet
2. Högerklicka och öppna Kontrollpanelen
3. Välj avinstallera ett program
4. Ta bort oönskade program

Steg 2. Ta bort [postnamn] från din webbläsare

Ta bort [postnamn] från Internet Explorer

1. Öppna IE och klicka på växel ikonen
   
2. Välj Hantera tillägg
   
3. Ta bort oönskade tillägg
4. Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
   
5. Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
6. Klicka på Återställ, markera rutan och klicka på Återställ igen
   

Ta bort [postnamn] från Mozilla Firefox

1. Öppna Mozilla och klicka på menyn
   
2. Välj tillägg och gå till anknytningar
3. Välj oönskade tillägg och klicka på ta bort
   
4. Återställ Mozilla: Alt + H → felsökningsinformation
   
5. Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
   

Avinstallera [postnamn] från Google Chrome

1. Öppna Google Chrome och klicka på menyn
   
2. Välj verktyg → tillägg
3. Välj tillägget och klicka på papperskorgsikonen
   
4. Ändra din sökmotor: menyn → Inställningar
5. Klicka på Hantera sökmotorer under Sök
   
6. Ta bort oönskade sökleverantör
   
7. Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
   
8. Klicka på Återställ för att bekräfta din åtgärd