För att infektera så många användare som möjligt, det virus kan spridas via skadliga e-postbilagor, liksom arkiv dataöverföring och skadliga länkar inbäddade i e-postmeddelanden. Såsom spam e-post är ansvarig för att över 80% av infektioner av ransomware och cyber-brottslingar användaren nyare och nyare skatteflykt tekniker för att kringgå skyddet på dessa e-postmeddelanden. En av de tekniker som används är massiv spam bots att sprida bifogade filer eller länkar till Dropbox eller Google drive eller andra moln konton som innehåller skadliga filer. Den e-post som i sig innehåller övertygande uttalanden för att öppna bilagor/klicka på länkarna:
Andra metoder för infektion förutom via till exempel e-postmeddelanden som skickas inkluderar infektion via olika typer av falska uppdateringar, patchar spelet, programvara aktivatorer, centrala generatorer eller någon annan mjukvara som kan laddas upp på misstänkta torrent webbplatser eller nedladdning av programvara webbplatser.
Efter skadlig fil som orsakar infektionen har öppnats, BlackRose virus kan släppa det är nyttolast i några av de följande Windows mappar:
- %AppData%
- %Roaming%
- %Lokala%
- %LocalLow%
- %SystemDrive%
- %Windows%
- %System32%
Filerna kan vara namnet som följande:
→ READ_IT_FOR_GET_YOUR_FILE.txt (Lösen not)
Hur install.pdf.exe
Hur install.exe
{slumpmässigt namngivna filen}.exe
Fil Decryptor.exe
Efter de filer som hör till BlackRose ransomware är redan sjunkit på den infekterade datorn, viruset kan ändra Köra och RunOnce registernycklar på äventyras maskinen. De är sub-nycklar Windows Registereditorn ansvariga för vilka artiklar som kör på Windows boot. Viruset kan ändra dem så att skadliga filer av BlackRose körs vid systemets uppstart.
Förutom att ändra i register editorn, BlackRose virus kan också ta bort kopior skugga och stoppa Windows backup service. Detta är möjligt genom att köra ett script som kör följande kommandon i bakgrunden, utan att offret märker:
→ process kallar skapa ”cmd.exe /c
vssadmin.exe ta bort skuggor /alla /quiet
bcdedit.exe – /set {default} recoveryenabled nr
bcdedit.exe – /set {default} bootstatuspolicy ignoreallfailures
BlackRose ransomware använder AES-krypteringsalgoritm för att koda filer på datorer som har drabbats av viruset. Den ransomware infektion använder kryptering förfarande som ersätter den grundläggande strukturen i-filer. Detta gör att filer som inte längre är öppningsbara.
Bland de riktade filer kan vara följande:
→ ”PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF-filen .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .Preliminära BUDGETFÖRSLAGET .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .BURKEN .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD-Filer .Som DWG-format .DXF-GIS-Filer .GPX .KML .KMZ-filen .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOGGA in .MSG .ODT .SIDOR .RTF .TEX .TXT .WPD .WPS .En CSV-fil .DAT .GED .- TANGENTEN .NYCKELRING .PPS .PPT .PPTX ..INI .PRF-Kodade Filer .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TJÄRA .TAX2014 .TAX2015 .VCF .XML-ljudfiler .AIF-fonden .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video-Filer .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3 DM .3DS .MAX .PR R. BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF-plattform .TTF .HYTTEN .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com
Hämta Removal Toolta bort BlackRoseViruset är mycket noga med att inte kryptera viktiga filer på användarens DATOR som kan skada Windows. När krypteringen är klar, BlackRose lämnar filer i följande tillstånd:
Efter den här processen genom att BlackRose är klar, ransomware infektion droppar det lösen not, så att det är lätt att inse. I det krav som ställs för offret att betala 1 BTC annars filer kommer att gå förlorade för evigt. Obs heter READ_IT_FOR_GET_YOUR_FILE.txt och har följande innehåll:
Manual [postnamn] avlägsnande Guide
Steg 1. Avinstallera [postnamn] och relaterade program
Windows XP
- Öppna Start-menyn och klicka på Kontrollpanelen
- Välj Lägg till eller ta bort program
- Välj det oönskade programmet
- Klicka på ta bort
Windows 7 och Vista
- Klicka på Start och välj Kontrollpanelen
- Gå till avinstallera ett program
- Högerklicka på den misstänkta programvaran
- Välj avinstallera
Windows 8
- Flytta markören till det nedre vänstra hörnet
- Högerklicka och öppna Kontrollpanelen
- Välj avinstallera ett program
- Ta bort oönskade program
Steg 2. Ta bort [postnamn] från din webbläsare
Ta bort [postnamn] från Internet Explorer
- Öppna IE och klicka på växel ikonen
- Välj Hantera tillägg
- Ta bort oönskade tillägg
- Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
- Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
- Klicka på Återställ, markera rutan och klicka på Återställ igen
Ta bort [postnamn] från Mozilla Firefox
- Öppna Mozilla och klicka på menyn
- Välj tillägg och gå till anknytningar
- Välj oönskade tillägg och klicka på ta bort
- Återställ Mozilla: Alt + H → felsökningsinformation
- Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
Avinstallera [postnamn] från Google Chrome
- Öppna Google Chrome och klicka på menyn
- Välj verktyg → tillägg
- Välj tillägget och klicka på papperskorgsikonen
- Ändra din sökmotor: menyn → Inställningar
- Klicka på Hantera sökmotorer under Sök
- Ta bort oönskade sökleverantör
- Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
- Klicka på Återställ för att bekräfta din åtgärd