En metod som Flatcher3 virus kan spridas är att sändas som en skadlig e-post som bifogad fil. Sådana bifogade filer innehåller vanligtvis den skadliga filen i en arkiverad sätt. Meddelandet bifogade bilagan kan beskriva det som ett viktigt dokument som måste öppnas, som en faktura för en ofärdig köpa, till exempel.
Andra skadliga objekt skickas via e-post kan vara rena länkar som orsakar omdirigeringar eller leda till fildelning webbplatser, såsom dropbox.com. Det, ett skadligt skript eller en fil som kan orsaka infektion.
Andra infektioner metoder kan också omfatta användning av olika torrent webbplatser för att ladda upp skadliga filer som är inbäddade i seriösa installatörer eller maskerade som sådan. Andra skadliga filer som kan vara maskerad som viktiga generatorer, falska uppdateringar, aktivatorer, etc.
Efter en infektion av Flatcher3 ransomware har utförts, viruset kan ansluta till en distribution webbplats och ladda ner skadliga filer med olika och misstänkta namn i följande mappar:
- %AppData%
- %Roaming%
- %Lokala%
- %LocalLow%
- %SystemDrive%
- %Windows%
- %System32%
I tillägg till detta Flatcher ransomware kan även ändra den följande registernyckel sub-nycklar genom att lägga egna värderingar i dem:
Denna ändring görs för att köra skadliga filer av viruset på Windows boot.
Annan verksamhet av Flatcher ransomware kan omfatta interagera med vissa kritiska Windows tjänster. Denna ändring gör det möjligt för flera olika aktiviteter som ska utföras, till exempel tillåt kryptering för att ta plats. Några av de attackerade filer kan vara följande:
→ bootsect.bak
iconcache.db
ntuser.dat
tummen.db
Den Flatcher3 ransomware kan också köra vssadmin och bcedit kommandon för att radera backup och skuggkopior (VSS) från Windows, så att användaren inte kan återställa sina filer på detta sätt:
→ process kallar skapa ”cmd.exe /c
vssadmin.exe ta bort skuggor /alla /quiet
bcdedit.exe – /set {default} recoveryenabled nr
Denna ransomware virus som syftar till att kryptera viktiga filer endast och är det noga med att inte kryptera filer i systemet mappar av Windows. Bland de krypterade filer finns dokument, videor, musik, bild Files and andra, till exempel:
→ ”PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF-filen .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .Preliminära BUDGETFÖRSLAGET .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .BURKEN .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD-Filer .Som DWG-format .DXF-GIS-Filer .GPX .KML .KMZ-filen .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOGGA in .MSG .ODT .SIDOR .RTF .TEX .TXT .WPD .WPS .En CSV-fil .DAT .GED .- TANGENTEN .NYCKELRING .PPS .PPT .PPTX ..INI .PRF-Kodade Filer .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TJÄRA .TAX2014 .TAX2015 .VCF .XML-ljudfiler .AIF-fonden .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video-Filer .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3 DM .3DS .MAX .PR R. BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF-plattform .TTF .HYTTEN .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com
Efter den här processen har slutförts filerna är kvar i följande tillstånd:
Viruset också droppar en helping.txt fil med följande innehåll:
Manual [postnamn] avlägsnande Guide
Steg 1. Avinstallera [postnamn] och relaterade program
Windows XP
- Öppna Start-menyn och klicka på Kontrollpanelen
- Välj Lägg till eller ta bort program
- Välj det oönskade programmet
- Klicka på ta bort
Windows 7 och Vista
- Klicka på Start och välj Kontrollpanelen
- Gå till avinstallera ett program
- Högerklicka på den misstänkta programvaran
- Välj avinstallera
Windows 8
- Flytta markören till det nedre vänstra hörnet
- Högerklicka och öppna Kontrollpanelen
- Välj avinstallera ett program
- Ta bort oönskade program
Steg 2. Ta bort [postnamn] från din webbläsare
Ta bort [postnamn] från Internet Explorer
- Öppna IE och klicka på växel ikonen
- Välj Hantera tillägg
- Ta bort oönskade tillägg
- Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
- Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
- Klicka på Återställ, markera rutan och klicka på Återställ igen
Ta bort [postnamn] från Mozilla Firefox
- Öppna Mozilla och klicka på menyn
- Välj tillägg och gå till anknytningar
- Välj oönskade tillägg och klicka på ta bort
- Återställ Mozilla: Alt + H → felsökningsinformation
- Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
Avinstallera [postnamn] från Google Chrome
- Öppna Google Chrome och klicka på menyn
- Välj verktyg → tillägg
- Välj tillägget och klicka på papperskorgsikonen
- Ändra din sökmotor: menyn → Inställningar
- Klicka på Hantera sökmotorer under Sök
- Ta bort oönskade sökleverantör
- Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
- Klicka på Återställ för att bekräfta din åtgärd