För distribution av Conflicker ransomware infektion, cyber-brottslingar bakom viruset kan ta fördel av flera olika verktyg används i kombination. Dessa verktyg kan innehålla skadliga länkar, nedsatt e-post adresser, falska e-post-konton, exploit kit, webb spridare, falska uppdateringar, självuppackande arkiv och andra. Sådana kan användas via spam program för att sprida spam e-post på en massiv skala. Vanligtvis spam-meddelanden har bedrägliga karaktär och de ofta syftar till att få användarna att antingen öppna en bifogad fil till e-post eller genom att klicka på en skadlig länk.
Andra metoder för spridning av denna malware kan också innehålla det är att ladda upp på torrent webbplatser eller programvara nedladdning webbplatser som är misstänkta eller äventyras. Viruset kan utgöra ett legitimt aktivator för olika program, en key-generator eller ett spel spricka.
Infektion processen av Conflicker uppnås genom en pipett eller en liknande typ av mellanhand skadlig kod som är krypterat och kan lyckas undgå antivirusprogram. Hur infektionen fungerar är när användaren öppnar en skadlig fil eller länk, viruset kan släppa det skadliga filer på flera Windows kataloger, som i följande exempel:
- %AppData%
- %Roaming%
- %Lokala%
- %LocalLow%
- %SystemDrive%
- %Windows%
- %System32%
Filerna är huvudsakligen körbara filer och de omfattar också gisslan anteckning av Conflicker. De rapporteras vara följande:
- ransomwarefineched.exe
- Decrypt.txt
- C_o_N_F_i_c_k_e_r Decryptor.exe
- winrar Setup 2017.exe
- winrar 2017.exe
- conficker.exe
Förutom att släppa det skadliga filer, Conflicker ransomware kan äventyra Windows Registereditorn genom att skapa skadlig registret värden i någon av följande undernycklar:
Efter den ändring av sub-nycklar utförs, Conflicker ransomware kan köra nu när Windows startar upp.
Bland de verksamheter som av Conflicker ransomware får mig att flera andra, som till exempel borttagning av alla säkerhetskopior liksom skuggan volym kopior. Detta är möjligt genom att köra vssadmin och bcedit kommandon på Windows Kommandotolken i tyst läge utan att användaren märker något, till exempel:
Efter detta har slutförts, Conflicker ransomware kan börja den här processen.
Conflicker Virus – Kryptering
Processen för att kryptera filer är iscensatt med hjälp av en krypteringsalgoritm som syftar till att koda filer genom att ersätta block av data i dem. När detta är gjort, filerna verkar skadad och kan inte längre öppnas. När krypteringen är klar, Conflicker hot kan ändra förlängningar av de krypterade filerna, vilket gör dem att se ut som bilden nedan:
För krypteringen, Conlficker ransomware kan rikta viktiga filer, noggrant undvika Windows system filer, så att OS är intakt. Bland de krypterade filerna kan vara följande filnamnstillägg:
→ ”PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF-filen .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .Preliminära BUDGETFÖRSLAGET .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .BURKEN .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD-Filer .Som DWG-format .DXF-GIS-Filer .GPX .KML .KMZ-filen .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOGGA in .MSG .ODT .SIDOR .RTF .TEX .TXT .WPD .WPS .En CSV-fil .DAT .GED .- TANGENTEN .NYCKELRING .PPS .PPT .PPTX ..INI .PRF-Kodade Filer .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TJÄRA .TAX2014 .TAX2015 .VCF .XML-ljudfiler .AIF-fonden .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video-Filer .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3 DM .3DS .MAX .PR R. BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF-plattform .TTF .HYTTEN .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com
När krypteringen är klar, Conflicker virus kan ändra skrivbordsunderlägg på datorn och dessutom släppa en gisslan anteckning, som heter decrypt.txt. Både tapet och lösen not har samma budskap:
Manual [postnamn] avlägsnande Guide
Steg 1. Avinstallera [postnamn] och relaterade program
Windows XP
- Öppna Start-menyn och klicka på Kontrollpanelen
- Välj Lägg till eller ta bort program
- Välj det oönskade programmet
- Klicka på ta bort
Windows 7 och Vista
- Klicka på Start och välj Kontrollpanelen
- Gå till avinstallera ett program
- Högerklicka på den misstänkta programvaran
- Välj avinstallera
Windows 8
- Flytta markören till det nedre vänstra hörnet
- Högerklicka och öppna Kontrollpanelen
- Välj avinstallera ett program
- Ta bort oönskade program
Steg 2. Ta bort [postnamn] från din webbläsare
Ta bort [postnamn] från Internet Explorer
- Öppna IE och klicka på växel ikonen
- Välj Hantera tillägg
- Ta bort oönskade tillägg
- Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
- Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
- Klicka på Återställ, markera rutan och klicka på Återställ igen
Ta bort [postnamn] från Mozilla Firefox
- Öppna Mozilla och klicka på menyn
- Välj tillägg och gå till anknytningar
- Välj oönskade tillägg och klicka på ta bort
- Återställ Mozilla: Alt + H → felsökningsinformation
- Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
Avinstallera [postnamn] från Google Chrome
- Öppna Google Chrome och klicka på menyn
- Välj verktyg → tillägg
- Välj tillägget och klicka på papperskorgsikonen
- Ändra din sökmotor: menyn → Inställningar
- Klicka på Hantera sökmotorer under Sök
- Ta bort oönskade sökleverantör
- Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
- Klicka på Återställ för att bekräfta din åtgärd